[엔드포인트보안] Wazuh 로그 분석 실습

OPNSense 방화벽을 기준으로 wan/lan을 구분

WAN: 192.168.44.0/24

LAN: 192.168.1.0/24

 

 

Wazuh 플랫폼에서 Discover 메뉴에 가면 수집된 로그 데이터를 필터링, 분석할 수 있는 도구가 있음

wazuh-alerts/monitoring/statistics-* 등

 

좌측에는 필드 선택을 할 수 있다

로그 각 항목을 wazuh 디코더가 분류한건데 각 필드에서 쌓여있는로그를 살펴볼 수 있다

agent.name 필드는 해당 필드 내용만 확인

 

---

 

SSH 접속 실습

윈도우 cmd에 들어가 ssh접속을 해보자 root/lab으로 접속

우분트 웹서버에서 불허하기 때문에 실패

 

이번에는 일반 계정인 ubuntu/lab으로 접속하고 sudo su 명령어도 입력

 

우분투 웹 서버에서 접속기록을 확인할려면 journald or auth.log를 보면 댐

journald는 이진로그 형식 auth.log는 텍스트 형식

 

auth.log를 보면 journald처럼 ssh 접속 기록이랑 로그를 확인할 수 있따

/var/log에 있음 

이제 윈도우로 가보자

 

윈도우에서는 이벤트 뷰어 들어가면 되고 Security이벤트랑 System 이벤트에서 확인한다

C:\Windows\System32\winevt\Logs 

 

Security 이벤트를 열면 이벤트 ID 5156에서 우분투 웹서버 아이피인 192.168.1.80이 확인

 

sysmon 이벤트에서는 네트워크 연결을 의미하는 이벤트 ID 3에서 ip 192.168.1.80이 확인됨 

우분투랑 윈도우에서 각각 로그를 다 확인하는건 너무 귀찮음 그래서 wazuh에서 확인할 수 있따!

 

일단 우분투 웹 서버 기록만 확인하도록 agent.id 001만 보이게 필터링하기 

agent.id 001중에서 su, sudo, ssh가 확인된다

 

Discover 메뉴에서 SSH 접속 확인하기

좌측 필드 필터링을 사용하면 좀 더 편하게 볼 수 있음

일단 어떤 룰에 의해 탐색된건지 알기위해 rule.description 필드를 선택

 

SSH 접속 실패/성공, root 계정 로그인 기록이 확인 

 

rule.level 필드를 확인하면 어떤 레벨의 룰에 의해 트리거됐는지 알 수 있다

 

이번에는 윈도우 이벤트를 보기 위해 agent.id:002로 필터링

SSH 로그가 탐지되어따

 

 

wazuh에서 기본 제공하는 샘플 데이터가 있어서 필터링 연습을 해볼수도 있다

indexer management 메뉴안에 있다~~