Content 옵션: 페이로드에서 지정한 문자열/URL/바이트 패턴을 탐지할 때 사용됨파일 다운로드/업로드 요청에서 특정 확장자나 파일 서명을 탐지할 때도 사용됨이외에도 HTTP 파라미터, 쿠키 값, 애플리케이션 계층에서 데이터 패턴을 탐지할때 사용 사용형식: 콜론 뒤에 큰 따옴표로 감싼 문자열이 들어감문자열은 탐지할 대상, !느낌표는 제외할 대상 Modifier 수정자 종류nocase대소문 구분 Xrawbytes디코딩되지 않은 원시 바이트 기준으로 탐offset지정된 바이트 위치 이후부터 문자열 탐지depth페이로드 처음부터 설정된 바이트 수까지만 탐지distance이전 탐지 키워드가 일치한 위치 이후부터 바이트를 건너뛰고 탐지within이전 탐지 키워드가 일치한 위치 이후부터 지정된 바이트 수 이내에..

실습 시나리오 환경시나리오에서 WAN 네트워크는 신뢰하지 않는 외부 네트워크/LAN은 신뢰하는 내부 네트워크LAN 네트워크에 있는 윈도우 운영체제에 임시로 웹 서버를 구동해서 신뢰하지 않는 외부 네트워크 접근을 시도웹 서버에 접근을 시도하는 공격자는 Attack_Kali → 192.168.57.11위협 탐지역할 시스템은 IDS/IPS(Snort_Centos6) →192.168.56.2 실습 환경은 무려 윈도우 XP.......실습에 사용할 폴더 와 파일 생성web/admin/adminwelcome.html 경로에 코드를 생성하는데 여기는 관리자 페이지임이후에는 웹 서버를 구동해서 외부에서 접근 가능하게 설정 이렇게 admin 환영 html 페이지를 하나 만들고 같은 경로에 userwelcome 파일..

IDS/IPS: 침해 탐지와 차단의 기능을 하는 보안 솔루션오늘은 대표적인 IDS/IPS인 snort에 대해 알아보자 IDS/IPS는 네트워크 인프라 상 배치를 할 때 인라인 모드/미러링 모드로 나뉨인라인 모드는 네트워크 트래픽의 경로에 직접적으로 위치하는 반면,미러링 모드에서는 원본 트래픽의 복사본을 받아 분석하는 차이가 있다기술적 특징인라인 모드미러링 모드트래픽 흐름패킷이 직접 통과트래픽의 복사본을 분석구현 방식네트워크 브리지 모드SPAN 포트, TAP 활용지연 영향패킷 검사 시간만큼 네트워크 지연됨실제 트래픽에 지연영향 X패킷 처리drop, reject등으로 직접적 차단 가능alert, log 등 수동적 액션하드웨어 요구사항고성능 트래픽 처리를 위한 고수준의 리소스비교적 낮은 수준의 리소스 필요인터..

OPNSense 방화벽을 기준으로 wan/lan을 구분WAN: 192.168.44.0/24LAN: 192.168.1.0/24 Wazuh 플랫폼에서 Discover 메뉴에 가면 수집된 로그 데이터를 필터링, 분석할 수 있는 도구가 있음wazuh-alerts/monitoring/statistics-* 등 좌측에는 필드 선택을 할 수 있다로그 각 항목을 wazuh 디코더가 분류한건데 각 필드에서 쌓여있는로그를 살펴볼 수 있다agent.name 필드는 해당 필드 내용만 확인 SSH 접속 실습윈도우 cmd에 들어가 ssh접속을 해보자 root/lab으로 접속우분트 웹서버에서 불허하기 때문에 실패 이번에는 일반 계정인 ubuntu/lab으로 접속하고 sudo su 명령어도 입력 우분투 웹 서버에서 접속기록을 확..

리눅스에서 로그란?커널, 시스템 서비스 등이 남기는 기록으로, 타임스탬프+호스트+심각도+메시지의 구조OS 레벨의 이벤트는 OS 로그 시스템이 구조화된 형식에 맞추어, 계층과 서비스 종류에 따라 다양한 로그가 남음윈도우는 Event log, 리눅스는 journald라는 로그시스템수집->집계->파싱 및 정규화-> 저장->보관의 사이 journald리눅스에는 systemd라는 init 시스템이 있음→ 리눅스 부팅시 가장 먼저 실행되어 시스템 전체를 초기화하고 서비스 켜고 끄는 역할journald는 systemd의 구성요소이고 서비스록, 커널메시지, syslog API메시지 수집 및 저장 역할로그인/아웃, 크론 작업 실행, 서비스 시작 및 종료, 관리자 명령 실행 등 기록로그는 바이너리 형식으로 /var/log..

Wazuh Agent엔드포인트에 설치되어 보안 이벤트를 수집해 서버로 전송함로그 수집 뿐만 아니라 파일 무결성 검사, 루트킷 탐지, 정책 위반 탐지 등의 역할 수집하는 데이터 종류시스템로그(syslog, journald)권한 상승, 파일 변경 이벤트사용자 로그인/아웃 정보취약점 스캔 결과프로세스 목록Wazuh Server수집된 데이터를 분석해서 경고를 생성함에이전트로부터 받은 로그를 디코딩해서 json 형태로 저장한 후 필터링하고 경고를 발생시킴 이후 Filebeat를 통해 분석된 이벤트를 Indexer로 전송처리해야 할 데이터가 많으면 노드 클러스터 구조로 데이터 분산 가능→ 클러스터: 마스터 노드, 워커 노드로 구성→ 마스터 노드: 에이전트 관리/ 워커 노드: 이벤트 처리, 룰 적용 디코딩 데이터 예..