TheHive는 오픈 소스 보안 사고 대응 플랫폼으로, 이벤트를 통합하고 조직화하여 보안 팀이 보다 효과적으로 대응할 수 있도록 도와줍니다. 리눅스 시스템에서 보안 이벤트를 TheHive로 수집하는 데에는 몇 가지 단계가 포함됩니다. 이를 위해 Elasticsearch와 같은 백엔드 저장소도 사용될 수 있습니다.
아래는 이 과정을 자세히 설명한 것입니다.
- TheHive 설치 및 설정
- TheHive를 설치하고 구성합니다. TheHive는 자체적으로 또는 Docker를 사용하여 설치할 수 있습니다. 필요한 패키지와 구성 파일을 설치하고 설정합니다.
- Cortex 설치 (옵션)
- Cortex는 TheHive와 통합되어 자동화된 보안 작업을 지원합니다. Cortex를 설치하고 구성하여 TheHive와의 통합을 활성화할 수 있습니다.
- Elasticsearch 설치 (옵션)
- Elasticsearch는 대규모 데이터를 저장하고 검색하는 데 사용됩니다. TheHive와 Cortex는 Elasticsearch를 사용하여 이벤트 데이터를 저장합니다.
- Filebeat 설치
- Filebeat는 로그 파일에서 데이터를 수집하여 Elasticsearch 또는 TheHive로 전송하는 역할을 합니다. 리눅스 시스템에서 보안 로그를 수집하기 위해 Filebeat를 설치합니다.
sudo apt-get install filebeat
- Filebeat는 로그 파일에서 데이터를 수집하여 Elasticsearch 또는 TheHive로 전송하는 역할을 합니다. 리눅스 시스템에서 보안 로그를 수집하기 위해 Filebeat를 설치합니다.
- Filebeat 구성
- Filebeat를 구성하여 로그 수집 경로와 출력 설정을 정의합니다.
/etc/filebeat/filebeat.yml파일을 편집하여 Elasticsearch 또는 TheHive의 주소와 포트를 설정합니다.output.thehive: hosts: ["http://your-thehive-instance:9000"] api_key: "your-api-key"
- Filebeat를 구성하여 로그 수집 경로와 출력 설정을 정의합니다.
- Filebeat 모듈 활성화 (옵션)
- Filebeat는 다양한 모듈을 제공하여 다양한 로그 유형을 자동으로 구문 분석합니다. TheHive와 통합하기 위해 필요한 모듈을 활성화합니다.
sudo filebeat modules enable <module_name>
- Filebeat는 다양한 모듈을 제공하여 다양한 로그 유형을 자동으로 구문 분석합니다. TheHive와 통합하기 위해 필요한 모듈을 활성화합니다.
- Filebeat 서비스 시작
- Filebeat 서비스를 시작하고 부팅 시 자동으로 시작하도록 설정합니다.
sudo service filebeat start sudo update-rc.d filebeat defaults
- Filebeat 서비스를 시작하고 부팅 시 자동으로 시작하도록 설정합니다.
- TheHive에서 이벤트 확인
- TheHive 대시보드에서 이벤트가 정상적으로 수집되고 있는지 확인합니다. TheHive의 새로운 케이스가 생성되면 해당 이벤트를 살펴볼 수 있습니다.
이러한 단계를 따라가면 리눅스 시스템에서의 보안 로그를 TheHive로 효과적으로 수집하고 대응할 수 있습니다.
추가적으로, 오픈 소스 보안 정보 및 이벤트 관리(SIEM) 도구인 Wazuh는 강력한 보안 모니터링과 이벤트 관리 기능을 제공합니다. Wazuh를 사용하여 이벤트를 수집하고 TheHive로 이벤트를 전송하는 과정은 다음과 같습니다.
- Wazuh 설치 및 구성
- Wazuh를 설치하고 구성합니다. Wazuh는 Elasticsearch와 Kibana와 같은 역할을 하는 컴포넌트를 함께 제공합니다. 필요한 패키지를 설치하고 구성 파일을 편집하여 Wazuh를 설정합니다.
- TheHive 설치 및 구성
- TheHive를 설치하고 구성합니다. TheHive는 자체적으로 또는 Docker를 사용하여 설치할 수 있습니다. 필요한 패키지와 구성 파일을 설치하고 설정합니다.
- Wazuh와 TheHive 연동 설정
- Wazuh와 TheHive를 연동하기 위해 Wazuh Manager의 설정 파일을 수정합니다.
/var/ossec/etc/ossec.conf파일을 열어서 다음과 같은 설정을 추가하거나 수정합니다.your-thehive-instance: TheHive 서버의 주소your-api-key: TheHive에서 생성한 API 키your-case-template: 사용할 케이스 템플릿max_alerts및max_time: 최대 이벤트 전송 횟수 및 주기 설정
<thehive> <server_url>http://your-thehive-instance:9000</server_url> <server_api_key>your-api-key</server_api_key> <case_template>your-case-template</case_template> <max_alerts>10</max_alerts> <max_time>120</max_time> </thehive>
- Wazuh와 TheHive를 연동하기 위해 Wazuh Manager의 설정 파일을 수정합니다.
- Wazuh에서 TheHive 모듈 활성화
- Wazuh에서 TheHive 모듈을 활성화하여 이벤트를 TheHive로 전송할 수 있도록 합니다.
/var/ossec/api/configuration/active-response/bin/connector-client setup
- Wazuh에서 TheHive 모듈을 활성화하여 이벤트를 TheHive로 전송할 수 있도록 합니다.
- Wazuh Manager 재시작
- Wazuh Manager를 재시작하여 설정을 적용합니다.
sudo systemctl restart wazuh-manager
- Wazuh Manager를 재시작하여 설정을 적용합니다.
- 이벤트 확인
- Wazuh가 이벤트를 수집하고 TheHive로 전송하는지 확인합니다. TheHive 대시보드에서 이벤트가 정상적으로 표시되어야 합니다.
이렇게 하면 Wazuh가 TheHive로 이벤트를 전송하게 되고, TheHive에서는 수신한 이벤트를 보다 효과적으로 관리하고 조직화하여 대응할 수 있습니다. 설정에 따라 TheHive에서는 자동으로 이벤트에 대한 케이스를 생성하고 보안 분석을 시작할 수도 있습니다.
728x90
댓글