XDR이 필요한 이유
보안 사고는 외부 위협 뿐만 아니라 내부 부주의로 발생할 수도 있고 시그니처 기반은 새로운 공격을 탐지하기 어려움
공격자들은 한 시스템이 아니라 연결된 경로를 통해 복합적으로 침투하기 때문에 통합 감시 시스템이 필요함
Wazuh는 SIEM, EDR, XDR의 역할을 할 수 있다
| SIEM | 보안 이벤트와 로그 정보 탐지, 분석 |
| EDR | 엔드포인트에서 발생하는 이상행위 탐지, 대응/ 감시-대응-포렌식 기록의 과 |
| XDR | SIEM+EDR+네트워크/클라우드 등 보안을 통합하는 솔루션, 공격자의 전체 침투를 파악해서 차단가능 |
Wazuh 구조
| Indexer | 전체 텍스트 검색 및 분석 엔진 |
| Server | 에이전트에서 수신한 데이터를 분석해서 위협을 감지하면 알림 발생 |
| Dashboard | 데이터 마이닝, 시각화 등을 제공하는 웹 인터페이스 |
| Agent | 여러 시스템과 데이터를 수집해서 Wazuh 서버로 전송 |
Wazuh의 기능
: XDR, SIEM, EDR의 기능을 통합한다고 보면 됨
- 클라우드 환경 보호
- MITRE ATT&CK 기반 시나리오 추적
- 자동 대응
- 파일 무결성 검사
- 로그 수집
- 시각화
- 경고 생성 등
Agent가 엔드포인트 이벤트와 로그를 수집해서 서버로 전송
→ 서버는 이벤트를 분석/처리해서 알맞은 포맷으로 Indexer에 전송
→ Indexer는 이벤트를 저장해서 고속 검색 및 조회를 최적화
→ 대시보드는 데이터를 시각화하고 시스템 관리 서비스를 사용자에 제공
'Defensive' 카테고리의 다른 글
| [엔드포인트보안] 리눅스 로그 (2) | 2025.08.18 |
|---|---|
| [엔드포인트보안] Wazuh 아키텍처와 역할 (2) | 2025.08.12 |
| [정보보호제품군 실습훈련] OPNSense 방화벽 Outbound NAT를 활용한 네트워크 주 은닉 실습 (1) | 2025.07.10 |
| [정보처리기사 실기] 1. 요구사항 확인 - 현행 시스템 분석 (1) | 2025.07.04 |
| [정보보호제품군 실습훈련] OPNSense 방화벽의 IPS 플러그인을 이용한 유해패턴 탐지 실습 (0) | 2025.07.02 |