리눅스에서 로그란?커널, 시스템 서비스 등이 남기는 기록으로, 타임스탬프+호스트+심각도+메시지의 구조OS 레벨의 이벤트는 OS 로그 시스템이 구조화된 형식에 맞추어, 계층과 서비스 종류에 따라 다양한 로그가 남음윈도우는 Event log, 리눅스는 journald라는 로그시스템수집->집계->파싱 및 정규화-> 저장->보관의 사이 journald리눅스에는 systemd라는 init 시스템이 있음→ 리눅스 부팅시 가장 먼저 실행되어 시스템 전체를 초기화하고 서비스 켜고 끄는 역할journald는 systemd의 구성요소이고 서비스록, 커널메시지, syslog API메시지 수집 및 저장 역할로그인/아웃, 크론 작업 실행, 서비스 시작 및 종료, 관리자 명령 실행 등 기록로그는 바이너리 형식으로 /var/log..

로그시스템, 네트워크 등에서 발생한 상태를 시간순으로 기록한 데이터공격자들은 시스템 침해 이후 로그를 삭제하려고 함 Window 로그 시스템윈도우는 자체 이벤트 시스템이 있어 Event Log에 저장함이벤트는 EVTX 파일 포맷으로 저장하는데 EVTX는 XML 구조를 가진 바이너리 파일디폴트 경로는 C:\Windows\System32\winevt\Logs\ Windows 로그 종류Application 로그각 응용 프로그램이 기록하고 앱 충돌, 오류 메시지, 예외 처리 등 확인가능System 로그OS 구성요소가 기록. 부팅 실패, 서비스 중단, 장치 오류 등 확인가능Security 로그local security authority, Winlogon 등 기록, 권한 상승 기록, 프로세스 실행 추적 등Setup..

Wazuh Agent엔드포인트에 설치되어 보안 이벤트를 수집해 서버로 전송함로그 수집 뿐만 아니라 파일 무결성 검사, 루트킷 탐지, 정책 위반 탐지 등의 역할 수집하는 데이터 종류시스템로그(syslog, journald)권한 상승, 파일 변경 이벤트사용자 로그인/아웃 정보취약점 스캔 결과프로세스 목록Wazuh Server수집된 데이터를 분석해서 경고를 생성함에이전트로부터 받은 로그를 디코딩해서 json 형태로 저장한 후 필터링하고 경고를 발생시킴 이후 Filebeat를 통해 분석된 이벤트를 Indexer로 전송처리해야 할 데이터가 많으면 노드 클러스터 구조로 데이터 분산 가능→ 클러스터: 마스터 노드, 워커 노드로 구성→ 마스터 노드: 에이전트 관리/ 워커 노드: 이벤트 처리, 룰 적용 디코딩 데이터 예..

XDR이 필요한 이유보안 사고는 외부 위협 뿐만 아니라 내부 부주의로 발생할 수도 있고 시그니처 기반은 새로운 공격을 탐지하기 어려움공격자들은 한 시스템이 아니라 연결된 경로를 통해 복합적으로 침투하기 때문에 통합 감시 시스템이 필요함Wazuh는 SIEM, EDR, XDR의 역할을 할 수 있다 SIEM보안 이벤트와 로그 정보 탐지, 분석EDR엔드포인트에서 발생하는 이상행위 탐지, 대응/ 감시-대응-포렌식 기록의 과XDRSIEM+EDR+네트워크/클라우드 등 보안을 통합하는 솔루션, 공격자의 전체 침투를 파악해서 차단가능 Wazuh 구조Indexer전체 텍스트 검색 및 분석 엔진Server에이전트에서 수신한 데이터를 분석해서 위협을 감지하면 알림 발생Dashboard데이터 마이닝, 시각화 등을 제공하는 웹 ..

프로그래밍은 이론 공부가 별 의미가 없어서 바로 Perplexity에게 문제를 만들어달라고 했당 1번int main(void) { int i, j, temp; int a[] = {75, 95, 85, 100, 50}; for (i = 0; i a[j + 1]) { temp = a[j]; a[j] = a[j + 1]; a[j + 1] = temp; } } } for (i = 0; i for 반복문이고 배열의 첫번째요소를 순회하는 동시에 다른 요소와 크기를 비교하는 함수다앞의 값이 더 크면 swap하고 큰 숫자는 오른쪽으로 밀어내는 버블 정렬임 1회차j = 0: 7..

주요 연계 기술직접 연계API송신 측의 DB에서 데이터를 읽어서 제공하는 인터페이스 프로그램JDBC자바에서 DB에 접근하는 방식이며 DBMS 유형, 서버 IP, Port 등 정보 필요Hyper Link다른 페이지로 이동하게 해주는 속성 간접 연계: 중간 매개체 통해서 구성 요소들이 통신EAI기업에서 운영하는 다른 플랫폼 간의 정보 전달, 통합ESB기업에서 운영하는 다른 플랫폼을 하나이 시스템으로 관리, 운영웹 서비스WSDL, SOAP 사용소켓포트 할당, 클라이언트 요청을 연결해서 통신 EAI 종류 ESB: 미들웨어인 Bus를 중심으로 각 프로토콜이 호환할 수 있도록 느슨한 결합 방식을 지원한다버스 방식의 분산형 토폴로지 구성이라 확장성, 유연성이 장점 웹 서비스웹 서비스 방식: SOAP, UDDI, W..