해당 포스팅은 LetsDefend에서 무료로 제공되는 How to Investigate a SIEM Alert? 코스를 공부하며 정리한 글입니다. DetectionSIEM Alert 경고는 사전 정의된 규칙 알고리즘에 기반해서 SIEM 시스템에서 생성되는 알림이다. 조직의 특정 보안 요구 사항에 맞게 맞춤화할 수도 있는데 정의된 기준에 맞으면 경고를 발생시킨다. 모니터링 페이지부터 살펴보자 Monitoring경고 확인을 위한 대시보드이고, 세 개의 섹션으로 나뉜다main channelinvestigation channelclosed alertsMain Channel 심각도: 낮음, 중간, 높음, 위급으로 구분 날짜: 사건 발생 날짜 (UTC +0) 규칙 이름: 이벤트에 의해 트리거 된 특정 규칙 Even..

해당 포스팅은 LetsDefend에서 무료로 제공되는 SIEM101 코스를 공부하며 정리한 글입니다. Log Collection 로그 수집Log, Logging로그 파일은 운영체제에서 발생한 이벤트나 다른 소프트웨어 실행 과정에서 발생한 이벤트를 기록, 혹은 사용자 간의 메시지 등을 기록한 파일이다. 로깅은 로그를 기록하는 행위를 뜻함. 기본적인 로그에는 시간, source system, 메시지가 포함되는데 예를 들어 우분투에서 /var/log/auth.log 파일을 보면 아래와 같다. 호스트, 방화벽, 서버 로그, 프록시 등에서 수집한 로그를 SIEM으로 보내야 하는데, 로그가 수집되는 경로는 주로 두 가지다Log AgentsAgentlessLog Agents로그 에이전트 소프트웨어가 필요한데, 로그를..

Phising 피싱 공격사용자를 속여 악성 링크를 클릭하게 하거나 악성 파일을 실행하게 하는 공격이다Cyber Kill Chain 모델에서 Delivery 단계에 해당하고, 사전에 준비한 악성 콘텐츠를 피해자에게 전송함   Information Gathering 정보수집스푸핑신분을 도용하거나 숨겨 신뢰할만한 사용자로 위장해 공격자가 다른 사람이름으로 메일을 보내는 공격.SPF, DKIM, DMARC 등의 프로토콜로 발신자 주소를 검증해 방지할 수 있다.스푸핑 여부를 수동으로 확인하기 위해서는 SMTP 주소를 확인해야 함. Mxtoolbox 같은 도구로 도메인의 SPF, DKIM, MX 레코드등을 얻어 스푸핑 여부를 판단한다.자체 메일 서버가 있는 대형 기관이라면 고유의 IP 주소가 있으므로 Whois 기..

지난 포스팅에서 말했듯이 타겟 웹사이트인 securityred.team이 다운되어서직접 스캔은 할 수 없고, 스캔 결과를 txt로 추출한 파일을 보고 문제를 풀어야 함   txt 파일을 다운받아 열어보니 WPScan 스캔 결과가 있다여기서 문제들의 답을 찾아보자   1. What version of PHP is running?  PHP의 버전은 7.2.17이라고 쉽게 찾을 수 있음  2. What is the predicted version of the WordPress theme "mesmerise-pro"?  해당 워드프레스 테마의 '추정되는 버전'은 무엇인가 라는 질문인데confidence가 100%가 아니라 80%이기 때문에 추정이라고 하는듯    3. What usernames were disc..

WPScan이란? WordPress 기반의 웹사이트의 보안 취약점을 스캔하는 오픈소스 도구주로 워드프레스의 플러그인, 테마, 사용자 관련 취약점을 탐지한다 워드프레스 스캐닝 툴을 얘기하기 전에,워드프레스에 대해 먼저 알아보자  WordPress 워드프레스 주요 기능    플러그인 (Plugins): 플러그인은 사이트에 추가적인 기능을 제공하는 소프트웨어를 의미한다. 예를 들어, 사이트 편집기, 폼 생성, 등록 페이지 편집, 보안 모니터링 추가 등 많은 기능을 추가할 수 있음. 워드프레스는 원하는 기능을 얻기 위해 플러그인을 사용하는 경우가 많지만 소규모 팀에서 개발된 플러그인이나 업데이트가 드문 플러그인은 보안 위험을 초래할 수 있다.(유지보수/보안 강화 X) 취약점이 발견되면 악의적인 사용자가 플러그인..

OpenVAS: Greenbone Networks에서 제작, 유지관리하는 취약점 스캐너,무료가 아니어서 라이브 데모만 간략하게 확인가능하다 https://livedemo.greenbone.net 접속한 후, 이름과 패스워드 모두 livedemo 로그인연결되고 나면 아래와 같은 대시보드가 보인다. 그리고 대시보드에 있던 그래프, 차트, 표 등을 시각적으로 원하는 대로 만들 수 있다.CVEs를 CVSS 점수별로 보여주는 차트를 만들어본다고 치자.new pane 버튼을 누르고 → Chart: CVEs by CVSS 선택 다음은 OpenVAS의 Assets 섹션에서 Hosts를 선택해 보자여기서는 OpenVAS가 스캔에서 탐지한 호스트에 대한 정보를 확인할 수 있다. 첫 번째 차트 Hosts by Se..