IIII

Problem
ORA-12516: TNS:리스너가 프로토콜 스택과 일치하는 처리기를 찾을 수 없습니다.

Cause
Oracle DB를 이동하여 Application을 가동하다 보면 위와 같은 Message와 마주칠 수 있습니다.

이는 동시 처리 가능한 Processes parameter 값을 초과했기 때문에 더 이상 Session을 연결할 수 없다는 message입니다.

Resolution
Processes parameter 값을 변경해주면 됩니다.

1. Oracle에 접속합니다.


2. Processes parameter 값을 확인합니다.

  1) show parameter를 이용하는 방법


  * 현재 동시 처리 가능한 Processes 값은 150입니다.

  2) select 문을 사용하는 방법

※ 한글로 보기

After Introduction, I will find about QRadar's main features and information.

This posting will be used for make you to know concept of features, for more detail function will be explained next time.

You can think QRadar is software that be installed on RHEL6.

To be exact, there are two type for QRadar, It are 'Appliance type' and 'Software type', But I will talk you QRadar is software for easy understanding.

Now, Latest version is 7.2, Build number 636622.

QRadar was main released 7.2 version recently.

There are many new features, but these feature will be posted next time because It's too long.

Okay.

Let's see QRadar's architecture before see main features.


It is based on RHEL6, most of law data is stored on Ariel database.

Processed data and Configurations are stored on PostgreSQL.

And Green boxes can be called core that collecting, processing, storing logs in QRadar.

All tasks are working on terminal and we can view this tasks also using SSL GUI Web Console, and we can work on Graphic interface.

Please ask to me if you want to know about this diagram.

I will post more about this information.

Now, We can see QRadar Web console.


As screenshot, there are many information immediately connect here.

It might show you rudeness, so I will explain you about each tabs.

Firstly, above feature is 'Dashboard'.

Based on collected logs, We can confirm 'what logs were collected more', 'how actions were detected', 'what kind of threats are exist in our infrastructure'.

There are 5 dashboard that be supplied from IBM, We can create new dashboard using widget that we want only.



Next tab is 'Offense' to be purpose to use QRadar.

It shows us threat after analyzing Event / Flow logs.

It reduces extravagance of man power because It is showing to us core information only in many of log data.

IBM X-Force research institute update rules that be able to analyze new threats, and user can makes rules also, rules feature is used widely.

But infrastructures of all company are not same, so rule cab makes incorrect information.

So we have to customize these.

Offense feature is so important.

QRadar is placed on top layer of security diagram as I told you before post.

In QRadar, Offense feature is point, it is meaning how many important QRadar.

If it is configured correctly, We can confirm threats and analyze threats with out monitoring in UTM / IPS / Viruswall / etc.

So, We can think about Offense feature is fist monitoring screen to view many threat, it tell users about threats, then users have to analyze related solution.

We need materials to make something.

To make integrated threat monitoring system, log / flow data are be material for making Offense.



So, are used log / flow data for offense only?

Yes, You can think like that, but it is wrong.

Those can be used other functions.

Purpose of original plan to collect logs is to make offense, but while collecting logs, these can be used other ways.

We can abstract meaningful data.

For example, We can make below charts.


You can see these easy as kissing my thumb, to use this feature can show us unauthorized web sites, traffic size when not working times.

I gave you simple example, but we can make use this feature to get more meaningful data.

And there is 'Assets' tab.




We can know after see name, this feature is to manage assets in our infrastructure.

But this feature is not good, Please don't expect, I guess It can't make better effect.

Because It find IP list in the infrastructure but It can't know about detail OS, MAC Addresses, Author name. So You have to fill asset format passive typing, It is never useful.

Maybe most of company has servers, networks, solutions too much.

Passive registering on the Asset is not useful, There are many of better solutions.

And There is 'Server Discovery' feature in Assets.

It is working to find frequently accessed port, QRadar guess what kind of server.

So you have to enable Flow feature, If server don't use standard port you have to customize port numbers.

Finally, We can use VA.

It scan how many vulnerability is exist on infrastructure.

Before release 7.2 version, QRadar must have 3rd party scanner program.

When 3rd party scanner program find vulnerability, QRadar use this result.

  Open source 3rd part scanner : NMap, Nessus

In now days, IBM released scanner for using QRadar.

But I can't make sure is it working better then exist scanners.

If scanner find vulnerability, QRadar manage to solve this vulnerability with life-cycle.

Next is 'Reports'


I told you log and flow data can be used to utilize for you.

QRadar collect log and flow, process data, give us useful data.

Report is one of useful data on QRadar.

Report can be generated as schedules, We can make use this result for regular reporting.

Finally, We will investigate 'Aadmin' tab


In here, there are many buttons to configure settings related user, log, system.

Finding vulnerability, defining dangerous web site, configuring life-cycle of data, It's are in here.

We investigated main feature of QRadar.

I will post detail ability about QRadar.

See you.


Related Links

IBM QRadar 1) Introduction

※ View as English

해당 기능을 사용하기 위해서는 반드시 mirror port / span port 기능이 활성화된 Switch와 연결이 되어있어야합니다. 

Switch에서 mirror port 혹은 span port 설정 후 VMware Host와 연결하여 가상 머신에서 Traffic 정보를 확인하고자 할 때 반드시 활성화해주어야 하는 기능입니다.

아래 Tutorial을 참조해주세요.

1. vSphere client를 통해 esxi server 접속

2. 'Configuration' tab 진입


3. 'Networking' 선택


4. 설정하고자 하는 vNIC의 'Properties' 선택


5. vSwitch 선택 후 'Edit' 기능 선택


6. 'Security' tab 내  'Promiscuous Mode'를 'Accept'로 변경



설정은 끝났습니다.

이제 mirror port를 활용하실 수 있습니다.

Traffic 정보 확인을 원하는 가상 머신에 vNIC을 할당 후 활용하시면 됩니다.

※ 한글로 보기

Before setting this option, mirror port must be created on switch that connected with host. 

If someone want to configure mirror port on VMware ESXi5 for monitoring or collecting network traffic, it's solution.

  * mirror port is called also span port.

1. Connect esxi host using vSphere client.

2. Go to 'Configuration' tab.


3. Click 'Networking'


4. Click 'Properties' on vNIC that you want to config on.


5. Choose vSwitch, then click 'Edit' button.


6. Click 'Security' tab, Reconfigure 'Promiscuous Mode' to 'Accept'.



Setting is done.

You can use span port.

Just set up to virtual machine that want to view traffic data.

※ 한글로 보기


This article will explain about IBM QRadar that belong SIEM(Security Information Event Management) solution.

If you want to know about SIEM, please see below link.

http://justckh.blogspot.kr/2013/09/siemsecurity-information-event.html


Firstly, QRadar is placed on 'leaders' group with HP Arcsight, McAfee from report of Gartner research organization.


                           ※ Source : Gartner

This graph shows you Splunk and LogRhythm are placed on 'leaders' group also.

QRadar was developed from Q1labs for many years, IBM token over Q1labs on 2012.

IBM that have QRadar is trying and planning to place QRadar on top of IBM Security Systems.

So, QRadar is placed on 'Security Intelligence and Analytics' as below image.

It is used for analystic threat and report threat automatically to us about People, Data, Application, Infrastructure fields.

                                   ※ Source: IBM

Basic process is same as other SIEM solutions.


                  ※ Source : IBM
'Collecting all logs, Analyze collection, Finding attack / threat'

QRadar show potential threat, practical threat using 'Offense' option'

This Offense are made by Custom Rules.

When QRadar collect log data, QRadar judgement either threat or non-threat using Custom Rules.

It can be level of threat for just one log, It can find offenses after analyse using time relation, and other logs relation.

Offense option is key function in QRadar.

IBM has X-Force security research institute, they work for new security trends, threat to update QRadar Rules.

It means QRadar can find new threat as many of APT(Advanced Persistence Threat) attacks, but You have not to be overcredulous because It can be correctness data.

Offense can be correctness data as other Security solutions.

QRadar makes offense using logs that other solution send message to QRadar, If this message is incorrect, QRadar can't assure accuracy about Offense data.

QRadar has many functions, I will tell you about Flow function in this part.

Flow function is to analyze Network Traffic. QRadar can view Layer 7 data, so It can find threat that be not able to find threat using only log data.

For example, there is one client that drain out company data using network regularly, QRadar can know how many data was out.

And It can show history about usage of network application, usage of traffic for time series.

This function works for advantage to find threat that log data can't find.

Add to this, QRadar can scan vulnerability on Infrastructure to manage vulnerability or Offense.

QRadar don't stop to use vulnerability to use only detect, It is used for managing vulnerability also.

This posting includes introduction of QRadar.

I will post detail function of QRadar next time.



Related Links

IBM QRadar 2) Main feature

Map-Reduce는 흔히들 이야기하는 Big-Data의 가장 기본적인 일종의 개념이라고 볼 수 있습니다.

대용량 Data를 처리하기 위해 제시된 Model입니다.

기존의 RDBMS(Relational Database Management System)은 어느 정도의 대용량 Data를 처리하는 것에 있어서 큰 문제는 없었습니다.

하지만 지금의 Data 양은 종전과 달리 기하급수적으로 증가하였고, RDBMS가 처리하기에는 성능적인 측면에서 부족함을 보여주고있습니다.

RDBMS는 Data가 많아질 수록 원하는 Data를 검색하는데에 소요되는 시간이 길어질 수 밖에 없습니다.

이 때문에 등장한 것이 Map-Reduce입니다.

Map-Reduce로 검색을 할 때, Map과 Reduce라는 두 가지 절차를 거칩니다.

어떤 Data를 Mapping한 후 Reducing하여 결과를 도출하는 방법입니다.

Map은 Map Function을 이용해 검색 대상 내에 존재하는 모든 문장을 한 단어 단위로 쪼갭니다.

이후 쪼개진 결과를 처리하기 편한 형태로 정렬을 하게 되고, Reduce Function을 이용해 단어별로 Count하는 것이 가장 기본적인 동작 방식입니다.

아래의 그림을 참조하시면 좀 더 쉽게 이해하실 수 있습니다.


여기서는 단순히 4개의 문장으로 예를 들었지만, 실제로는 수 없이 많은 Data로 이루어집니다.

그림과 같이, 각 단어별로 나타난 숫자를 더한 결과로 가장 적합한 Data를 찾아내게 됩니다.

이 때, 단어(This, is, MR 등)은 Key가 되며, 숫자 1은 Value가 됩니다.

가장 간단하게 설명을 드리자면 예를 들어, '피자' 라는 키워드로 검색을 하게 되면 Map-Reduce 기법을 통해 '피자'라는 단어가 가장 많이 들어간 Page를 찾아주는 것이라고 생각하시면 됩니다.

즉, Pizza라는 Key의 Value 값이 가장 높은 Page입니다.

물론 해당 단어가 가장 많다고해서 사용자가 원하는 정확한 결과물이 아닐수도 있기 때문에 더 많은 수식이 들어가기는 합니다.

처음에도 언급하였던 것 처럼 Map-Reduce는 기존의 RDBMS에서 처리할 수 없었던 대용량 Data 처리를 위해 개발되었습니다.

때문에 Data가 작은 경우 검색 속도가 오히려 줄어들 수도 있습니다.

Map-Reduce를 활용한 Apache Hadoop Solution 및 실제 활용 사례는 추후에 게시하도록 하겠습니다.

1. Instruction

보안의 최상단에 위치하고 있다는 SIEM(Security Information Event Management)에 대하여 조사를 해보았습니다.

SIEM은 한국어로 '심'이라고 발음하기도 하며, 말 그대로 '에스아이이엠'이라고 부르기도 합니다.

많은 제조사들이 SIEM을 만들었고 있기 때문에 SIEM의 사전적 의미도 다양합니다.

Security Intelligence Event Management, Security Information Event Management 등 다양한 이름으로 불려지고 있습니다.

이번 포스팅은 SIEM의 용도 및 사용하는 이유 등에 대하여 알아보도록 하겠습니다.


2. Use

SIEM은 전산화된 Infrastructure에서 발생하는 모든 보안 위협을 찾아내기 위해 사용하는 일종의 Monitoring Tool로 볼 수 있습니다.

우선 아래 그림을 통해 2011년과 2012년에 발생한 보안 침해 / 유출 사고의 유형 및 규모를 참조해주세요.



※ 출처 : IBM X-Force 연구소


2011년 통계의 경우 점차 피해 규모가 큰 보안 사고가 발생하고 있다는 것을 알 수 있고,

2012년 통계는 작지만 수 없이 많은 사고들이 발생했다는 것을 볼 수 있습니다.

즉, 어떤 기업이라도 업무 전산화가 되어있다면 결코 안전하지 않다는 것을 알 수 있습니다.

Verison 조사에 따르면, 2011년도 발생된 보안 사고 가운데 약 69%의 사고가 예방 가능할 정도의 로그가 남아있었다고 합니다.

이 말인 즉, 각종 보안 장비 및 여타 시스템에 기록된 로그만 잘 분석했더라면 정보 유출 사고를 겪지 않아도 됐을 것이라는 이야기가 됩니다.

그럼 여기서 과반수 이상의 보안 침해 / 유출 사고를 겪지 않기 위한 명확하고 확실한 Solution이 나왔습니다.

"Infrastructure 내 발생하는 모든 로그를 수집하고, 분석한다."

Network, Server, Security Solution, Application 등 Infra 내에서 발생하는 모든 로그를 수집하는 것입니다.

하지만 지금의 IT 세상은 Big-Data 시대입니다.

Network, Server, Security Solution, Application의 수가 폭발적으로 증가하였고, 이는 로그의 양 또한 기하급수적으로 증가하였다고 볼 수 있습니다. 적게는 1초에 수 백 건, 많게는 1초에 수 십만 건의 로그가 발생하고있습니다.

그렇다면, 수집된 로그를 각 분야 담당자들이 분석하고 결과를 내놓을 수 있을까요?

결론은 불가능합니다.

사람이 할 수 없는 작업입니다.

사람이 할 수 없다면 새로운 System을 통해 위와 같은 업무를 수행해야겠죠.

그 역할을 해주는 것이 바로 'SIEM'입니다.

SIEM은 기본적으로 아래와 같은 구조로 구성됩니다.



그림에서 나타나듯, Infra 내에서 발생하는 모든 Log를 수집하는 것이 기본적으로 수행되고, 이 후 수집된 Log를 개별 분석 / 관계 분석을 통해 각종 Trigger 및 Report하는 것이 주 목적이고, SIEM의 기본적인 구조입니다.


3. Case

이 때 한 가지 의문점이 생기실겁니다.

위 설명을 통해 SIEM의 구조를 봤더니 결국엔 '위험성이 내포된 Log를 놓치지 않고 확인 하는 것이 목적 아닌가?' 하는 것이겠지요.

위험성이 내포된 Log는 각 System에서 지속적으로 알려줄 것이기 때문에 놓치기 힘들 것입니다.

정확히 짚으셨습니다.

하지만 위에서 확인하신 보안 사고를 당한 기업들은 단순히 이런 유형의 공격들이 아니었습니다.

근래에 발견되는 공격들은 이전보다 더 지능적이고, 치밀하며, 쉽게 알기 힘들게끔 행동하고 있습니다.

'전혀 위험해보이지 않는, 평범한 상황인것 같은 Action을 통해 공격한다.'

근래에 많이 나타나고 있는 APT(Advanced Persistence Threat)등이 포함됩니다.

누구나 위험성을 파악할 수 있는 공격이라면 애초에 위 자료와 같은 사고들이 발생하지 않았을 것입니다.

한 가지 예를 들어보겠습니다.


이는 무조건적으로 해커에 의한 공격이라고 갸늠할 수는 없지만, 매우 가능성이 농후한 상황입니다.

위와 같이 여러가지의 로그와 시간 지속성을 두고 상관관계를 분석하여 최종적인 위협을 도출하는 것이 SIEM입니다.

물론 다른 보안 개념과 마찬가지로 절대 100%의 정확성을 갖는 것은 아닙니다.

주저리 주저리 설명이 길었지만, 결국 기존 Security Solution들이 Catch할 수 없었던 위협들을 찾아 줄 수 있다는 장점을 가진 개념이라고 보시면 됩니다.

모든 Server, Network, Security Solution, Application의 Log를 모은 후 서로 분석하여 잠재적인 위협, 은닉 위협을 찾을 수 있다는 기본적인 발상은 참으로 멋진 생각으로 보입니다.