OPNSense 방화벽을 기준으로 wan/lan을 구분
WAN: 192.168.44.0/24
LAN: 192.168.1.0/24
Wazuh 플랫폼에서 Discover 메뉴에 가면 수집된 로그 데이터를 필터링, 분석할 수 있는 도구가 있음
wazuh-alerts/monitoring/statistics-* 등
좌측에는 필드 선택을 할 수 있다
로그 각 항목을 wazuh 디코더가 분류한건데 각 필드에서 쌓여있는로그를 살펴볼 수 있다
agent.name 필드는 해당 필드 내용만 확인
SSH 접속 실습
윈도우 cmd에 들어가 ssh접속을 해보자 root/lab으로 접속
우분트 웹서버에서 불허하기 때문에 실패
이번에는 일반 계정인 ubuntu/lab으로 접속하고 sudo su 명령어도 입력
우분투 웹 서버에서 접속기록을 확인할려면 journald or auth.log를 보면 댐
journald는 이진로그 형식 auth.log는 텍스트 형식
auth.log를 보면 journald처럼 ssh 접속 기록이랑 로그를 확인할 수 있따
/var/log에 있음
이제 윈도우로 가보자
윈도우에서는 이벤트 뷰어 들어가면 되고 Security이벤트랑 System 이벤트에서 확인한다
C:\Windows\System32\winevt\Logs
Security 이벤트를 열면 이벤트 ID 5156에서 우분투 웹서버 아이피인 192.168.1.80이 확인
sysmon 이벤트에서는 네트워크 연결을 의미하는 이벤트 ID 3에서 ip 192.168.1.80이 확인됨
우분투랑 윈도우에서 각각 로그를 다 확인하는건 너무 귀찮음 그래서 wazuh에서 확인할 수 있따!
일단 우분투 웹 서버 기록만 확인하도록 agent.id 001만 보이게 필터링하기
agent.id 001중에서 su, sudo, ssh가 확인된다
Discover 메뉴에서 SSH 접속 확인하기
좌측 필드 필터링을 사용하면 좀 더 편하게 볼 수 있음
일단 어떤 룰에 의해 탐색된건지 알기위해 rule.description 필드를 선택
SSH 접속 실패/성공, root 계정 로그인 기록이 확인
rule.level 필드를 확인하면 어떤 레벨의 룰에 의해 트리거됐는지 알 수 있다
이번에는 윈도우 이벤트를 보기 위해 agent.id:002로 필터링
SSH 로그가 탐지되어따
wazuh에서 기본 제공하는 샘플 데이터가 있어서 필터링 연습을 해볼수도 있다
indexer management 메뉴안에 있다~~
'Defensive' 카테고리의 다른 글
| Snort :: 신뢰하지 않는 출처의 관리자 페이지 접근 탐지 (0) | 2025.09.17 |
|---|---|
| Snort IDS 기본 구조 :: 룰셋의 배치 방식, 구조와 예시 (0) | 2025.09.16 |
| [엔드포인트보안] 리눅스 로그 (7) | 2025.08.18 |
| [엔드포인트보안] Wazuh 아키텍처와 역할 (2) | 2025.08.12 |
| [엔드포인트보안] Wazuh XDR에 대해 알아보자 (1) | 2025.08.10 |