Wazuh Agent엔드포인트에 설치되어 보안 이벤트를 수집해 서버로 전송함로그 수집 뿐만 아니라 파일 무결성 검사, 루트킷 탐지, 정책 위반 탐지 등의 역할 수집하는 데이터 종류시스템로그(syslog, journald)권한 상승, 파일 변경 이벤트사용자 로그인/아웃 정보취약점 스캔 결과프로세스 목록Wazuh Server수집된 데이터를 분석해서 경고를 생성함에이전트로부터 받은 로그를 디코딩해서 json 형태로 저장한 후 필터링하고 경고를 발생시킴 이후 Filebeat를 통해 분석된 이벤트를 Indexer로 전송처리해야 할 데이터가 많으면 노드 클러스터 구조로 데이터 분산 가능→ 클러스터: 마스터 노드, 워커 노드로 구성→ 마스터 노드: 에이전트 관리/ 워커 노드: 이벤트 처리, 룰 적용 디코딩 데이터 예..

XDR이 필요한 이유보안 사고는 외부 위협 뿐만 아니라 내부 부주의로 발생할 수도 있고 시그니처 기반은 새로운 공격을 탐지하기 어려움공격자들은 한 시스템이 아니라 연결된 경로를 통해 복합적으로 침투하기 때문에 통합 감시 시스템이 필요함Wazuh는 SIEM, EDR, XDR의 역할을 할 수 있다 SIEM보안 이벤트와 로그 정보 탐지, 분석EDR엔드포인트에서 발생하는 이상행위 탐지, 대응/ 감시-대응-포렌식 기록의 과XDRSIEM+EDR+네트워크/클라우드 등 보안을 통합하는 솔루션, 공격자의 전체 침투를 파악해서 차단가능 Wazuh 구조Indexer전체 텍스트 검색 및 분석 엔진Server에이전트에서 수신한 데이터를 분석해서 위협을 감지하면 알림 발생Dashboard데이터 마이닝, 시각화 등을 제공하는 웹 ..

실습 시나리오 방화벽에 문제가 생겨 설정과 정책들이 다 리셋되는 상황이 발생했다. 사내에서 외부 네트워크 접속은 문제없지만 사내 네트워크 주소가 외부 시스템에 그대로 노출되고 있다는걸 알게됨. 기존에는 Outbound NAT 기능으로 내부 서버에서 출발하는 패킷의 IP 주소가 외부 주소로 변환되었지만 지금은 해당 설정이 초기화되었다.외부 네트워크: 192.168.10.0/24내부 네트워크: 192.168.20.0/24 해야할일OPNSense 방화벽의 Outbound NAT 정책을 사용해서 사내망에서 외부로 나가는 패킷들의 ip주소를 외부 주소로 변환해야 함 일단 보호대상인 내부망에서 외부 네트워크 웹 서버로 나가는 패킷을 분석해보자(LAN-> WAN)윈도우 데스크탑에서 공격자의 웹 서버로 접속을 시도..

현행 시스템 파악 절차1단계: 시스템 구성, 기능, 인터페이스 파악2단계: 아키텍처, 소프트웨어 구성 파악3단계: 하드웨어, 네트워크 파악 소프트웨어 아키텍처 프레임워크아키텍처가 표현해야 하는 내용과 관계를 표현하는 아키텍처 기술 표준 소프트웨어 아키텍처 4+1 뷰 고객의 요구사항을 정리한 시나리오를 4개의 관점에서 바라보는 접근 방법으로, 4개 구조가 서로 충돌하지 않는지/ 요구사항 충족하는지 확인 유스케이스 뷰: 사용자, 개발자, 테스트 관점이고 다른 뷰를 검증하는데 사용논리 뷰: 설계자, 개발자 관점이고 시스템의 기능적 요구사항 제공을 설명프로세스 뷰: 개발자, 시스템 통합자 관점이고 시스템의 비기능적 속성 표현구현 뷰: 정적인 소프트웨어 모듈 구성을 보여주고 컴포넌트 구조와 부가정보 포함배포 ..

시나리오 보안 관제 업무를 하면서, 브라우저 취약점을 공격하는 익스플로잇 파일 전송 기능의 악성코드를 알게되었음브라우저에 유입되는 악성파일은 공통적으로 특정 패턴이 있어서 IPS에 적용해 탐지 차단해야 함MALSIG1그리고 악성코드의 변종 버전이 유포되고 있는데 이의 패턴은 MALSIG2 이다.이 두개의 패턴을 보안솔루션 정책의 추가해야 하는 상황 할일을 정리하면OPNSense 내에 설치된 suricata IPS, IDS에 악성코드 차단 정책 등록악성코드가 브라우저에 전송되면 로그 남기기 일단 OPNSense에 suricata 플러그인이 추가로 설치된 것을 확인해보자Services -> Intrusion Detection 에 있고 서비스는 enabled 상태이며 정책에 따라서 트래픽을 차단하는 IPS 모..

시나리오 보안관제 포지션에 있으면서 고객사의 웹 사이트가 악성코드를 유포한다는 소식을 들음. 악성코드는 브라우저의 취약점을 공격하는 기능이고, 사내 업무망을 보호하기 위해 사내 업무망과 악성코드 유포 사이트 연결을 차단해야 함.하지만 사내 업무망에서 원인 분석과 정상화를 위해서 원격 SSH 쉘 접속은 허용해야 함 악성코드 유포사이트: 192.168.10.20 할일:윈도우 데스크탑에서 악성코드 유포 사이트로의 접속은 차단윈도우 데스크탑에서 악성코드 유포 사이트로 SSH 클라이언트 프로그램으로 원격 쉘 접속은 허용OPNSense 방화벽에서 차단 로그 확인이 가능해야 함 방화벽 정책 적용 전사내 네트워크인 192.168.20.2/24에서 악성 웹사이트로 접속을 시도해서 차단 여부를 확인해보자바로 접근이 가능함..