Wazuh Agent
엔드포인트에 설치되어 보안 이벤트를 수집해 서버로 전송함
로그 수집 뿐만 아니라 파일 무결성 검사, 루트킷 탐지, 정책 위반 탐지 등의 역할
수집하는 데이터 종류
- 시스템로그(syslog, journald)
- 권한 상승, 파일 변경 이벤트
- 사용자 로그인/아웃 정보
- 취약점 스캔 결과
- 프로세스 목록
Wazuh Server
수집된 데이터를 분석해서 경고를 생성함
에이전트로부터 받은 로그를 디코딩해서 json 형태로 저장한 후 필터링하고 경고를 발생시킴
이후 Filebeat를 통해 분석된 이벤트를 Indexer로 전송
처리해야 할 데이터가 많으면 노드 클러스터 구조로 데이터 분산 가능
→ 클러스터: 마스터 노드, 워커 노드로 구성
→ 마스터 노드: 에이전트 관리/ 워커 노드: 이벤트 처리, 룰 적용
디코딩 데이터 예
Dec 25 20:45:02 MyHost example[12345]: User 'admin' logged from '192.168.1.100'
**Phase 1: Completed pre-decoding.
full event: 'Dec 25 20:45:02 MyHost example[12345]: User 'admin' logged from '192.168.1.100''
timestamp: 'Dec 25 20:45:02'
hostname: 'MyHost'
program_name: 'example'
**Phase 2: Completed decoding.
name: 'example'
dstuser: 'admin'
srcip: '192.168.1.100'
Wazuh Indexer
수집된 보안 이벤트를 저장하고 빠르게 검색할 수 있게 인덱싱하는 DB 시스템
인덱스란? 관련 데이터를 모아놓은 하나의 논리적 저장 공간
대표적인 인덱스로는
wazuh-alerts-4.x-*: 서버가 생성한 경고 저장
wazuh-monitoring-4.x-*: 에이전트 상태 모니터링 데이터 저장
wazuh-statistics-4.x-*: 서버의 통계 정보 저장
Wazuh Dashboard
사용자가 뷰를 커스터마이징하고 보안 사고에 대해 심층적 조사를 할 수 있다
데이터 조회/검색, 시각화, 에이전트 관리, 서버 설정, 보안 모니터링, alert 관리/설정
아키텍처 설치 방식은 단일/멀티 노드 설치로 나뉨
단일 노드 설치: 서버, 인덱서, 대시보드를 한 서버에 설치하는데 관리가 간편하지만 성능이나 안전성 문제 발생가능
멀티 노드 설치: 위의 요소를 다른 서버에 설치하는 방식이라 안정성이 높고 네트워크 설정, 인증 구성이 필요함
'Defensive' 카테고리의 다른 글
| [엔드포인트보안] 리눅스 로그 (1) | 2025.08.18 |
|---|---|
| [엔드포인트보안] Wazuh XDR에 대해 알아보자 (1) | 2025.08.10 |
| [정보보호제품군 실습훈련] OPNSense 방화벽 Outbound NAT를 활용한 네트워크 주 은닉 실습 (1) | 2025.07.10 |
| [정보처리기사 실기] 1. 요구사항 확인 - 현행 시스템 분석 (1) | 2025.07.04 |
| [정보보호제품군 실습훈련] OPNSense 방화벽의 IPS 플러그인을 이용한 유해패턴 탐지 실습 (0) | 2025.07.02 |