XDR이 필요한 이유보안 사고는 외부 위협 뿐만 아니라 내부 부주의로 발생할 수도 있고 시그니처 기반은 새로운 공격을 탐지하기 어려움공격자들은 한 시스템이 아니라 연결된 경로를 통해 복합적으로 침투하기 때문에 통합 감시 시스템이 필요함Wazuh는 SIEM, EDR, XDR의 역할을 할 수 있다 SIEM보안 이벤트와 로그 정보 탐지, 분석EDR엔드포인트에서 발생하는 이상행위 탐지, 대응/ 감시-대응-포렌식 기록의 과XDRSIEM+EDR+네트워크/클라우드 등 보안을 통합하는 솔루션, 공격자의 전체 침투를 파악해서 차단가능 Wazuh 구조Indexer전체 텍스트 검색 및 분석 엔진Server에이전트에서 수신한 데이터를 분석해서 위협을 감지하면 알림 발생Dashboard데이터 마이닝, 시각화 등을 제공하는 웹 ..

실습 시나리오 방화벽에 문제가 생겨 설정과 정책들이 다 리셋되는 상황이 발생했다. 사내에서 외부 네트워크 접속은 문제없지만 사내 네트워크 주소가 외부 시스템에 그대로 노출되고 있다는걸 알게됨. 기존에는 Outbound NAT 기능으로 내부 서버에서 출발하는 패킷의 IP 주소가 외부 주소로 변환되었지만 지금은 해당 설정이 초기화되었다.외부 네트워크: 192.168.10.0/24내부 네트워크: 192.168.20.0/24 해야할일OPNSense 방화벽의 Outbound NAT 정책을 사용해서 사내망에서 외부로 나가는 패킷들의 ip주소를 외부 주소로 변환해야 함 일단 보호대상인 내부망에서 외부 네트워크 웹 서버로 나가는 패킷을 분석해보자(LAN-> WAN)윈도우 데스크탑에서 공격자의 웹 서버로 접속을 시도..

시나리오 보안 관제 업무를 하면서, 브라우저 취약점을 공격하는 익스플로잇 파일 전송 기능의 악성코드를 알게되었음브라우저에 유입되는 악성파일은 공통적으로 특정 패턴이 있어서 IPS에 적용해 탐지 차단해야 함MALSIG1그리고 악성코드의 변종 버전이 유포되고 있는데 이의 패턴은 MALSIG2 이다.이 두개의 패턴을 보안솔루션 정책의 추가해야 하는 상황 할일을 정리하면OPNSense 내에 설치된 suricata IPS, IDS에 악성코드 차단 정책 등록악성코드가 브라우저에 전송되면 로그 남기기 일단 OPNSense에 suricata 플러그인이 추가로 설치된 것을 확인해보자Services -> Intrusion Detection 에 있고 서비스는 enabled 상태이며 정책에 따라서 트래픽을 차단하는 IPS 모..

시나리오 보안관제 포지션에 있으면서 고객사의 웹 사이트가 악성코드를 유포한다는 소식을 들음. 악성코드는 브라우저의 취약점을 공격하는 기능이고, 사내 업무망을 보호하기 위해 사내 업무망과 악성코드 유포 사이트 연결을 차단해야 함.하지만 사내 업무망에서 원인 분석과 정상화를 위해서 원격 SSH 쉘 접속은 허용해야 함 악성코드 유포사이트: 192.168.10.20 할일:윈도우 데스크탑에서 악성코드 유포 사이트로의 접속은 차단윈도우 데스크탑에서 악성코드 유포 사이트로 SSH 클라이언트 프로그램으로 원격 쉘 접속은 허용OPNSense 방화벽에서 차단 로그 확인이 가능해야 함 방화벽 정책 적용 전사내 네트워크인 192.168.20.2/24에서 악성 웹사이트로 접속을 시도해서 차단 여부를 확인해보자바로 접근이 가능함..

시나리오 회사의 정보보안 담당자로 일하고 있는데, 윈도우 취약점을 공격하는 맬웨어가 특정 웹사이트에서 유포되고 있다는 메일을 받음. 유포되는 사이트 링크 두개가 있고, 이를 사내 업무망으로 부터 접근이 불가능하도록 조치해야 한다. 그리고 고객사 웹 사이트는 감염여부 확인을 위해 사내 업무망에서 접속이 가능해야 한다유포 사이트: 192.168.10.30, 192.168.10.40사내 업무망: 192.168.10.0/24고객사 웹사이트: 192.168.10.20그리고 조치해야 할 사항은 다음과 같음OPNSense 방화벽으로 사내 업무망과 악성코드 유포 사이트의 접근을 차단OPNSense 방화벽으로 사내 업무망과 고객사 웹 사이트의 접속 허용악성코드 유포 사이트에 접근시도 차단 이력은 방화벽에서 차단로그 로깅..

외부 네트워크(192.168.10.0/24), 내부 네트워크(192.168.20.0/24) 으로 구성되어 있고방화벽 OPNSense는 두 네트워크 카드로 양쪽에 연결되어 있는 상황이다공격자는 Attacker_Kali, WAS01~03은 웹 서버 공격자 Kali 머신에 접속해서 ip 주소를 확인해보기 사용자 데스크탑은 방화벽 관리용인데 ip 설정이 잘 되어 있는지 확인해보기 방화벽 OPNSense가 있는 시스템에 ping 을 보내면 방화벽이 블락하고 있기 때문에 응답을 받지 못하고 파캣이 100퍼센트 유실되는것을 확인할 수 있다 ARP 캐시 테이블을 확인하면 네트워크 카드 주소가 동작하고 있음 데스크탑에서 방화벽, 공격자 Kali, 다른 웹서버들에 ping 메시지를 보내면 전부 응답이 돌아온다내부..