본문 바로가기

SIEM9

KST 한국 시간을 세계표준 UTC 및 ISO8601 형식으로 변환(Converter) 다양한 장비들의 로그를 통합하기 위하여 수집하다 보면 시간의 타임존 형태가 다양할 수 있는데 표준이 아닌 "2024-03-19 02:26:04" 형식의 시간이 수집되는 경우 KST 시간으로 인식하고, 이를 UTC 시간으로 변환하여 ISO8601 형태로 반환하는 코드를 작성했습니다. 변환된 결과는 "2024-03-18T17:26:04Z" 입니다.from datetime import datetime, timedeltaimport pytzdef convert_kst_to_utc(input_time_str): # KST 시간대 설정 kst = pytz.timezone('Asia/Seoul') # 입력 값 형식이 ISO8601 형식이 아니므로, 년-월-일 시:분:초 형태로 파싱 input_t.. 2024. 4. 29.
SOAR(Security Orchestration, Automation, and Response) 정리 SOAR(Security Orchestration, Automation, and Response)는 사이버 보안 위협과 사고에 대응하기 위해 보안 팀이 사용하는 기술과 프로세스의 집합입니다. 이 시스템은 보안 사고의 식별, 조사, 대응을 자동화하고 표준화함으로써 보안 운영의 효율성을 향상시키고, 위협에 대한 대응 시간을 단축합니다. 보안 오케스트레이션, 자동화, 및 대응은 다음과 같은 주요 구성 요소로 이루어져 있습니다. 보안 오케스트레이션: 서로 다른 보안 도구와 시스템을 통합하여 작업을 중앙 집중화하고 효율적으로 전파합니다. 이를 통해 보안 팀은 다양한 도구와 기술을 쉽게 조정하고, 사고 대응 프로세스를 가속화할 수 있습니다. 보안 자동화: 보안 프로세스와 작업을 자동화함으로써 필요한 인적 상호 작용.. 2024. 4. 16.
보안 이벤트 통합 및 보안 사고 대응 플랫폼 TheHive 구성 TheHive는 오픈 소스 보안 사고 대응 플랫폼으로, 이벤트를 통합하고 조직화하여 보안 팀이 보다 효과적으로 대응할 수 있도록 도와줍니다. 리눅스 시스템에서 보안 이벤트를 TheHive로 수집하는 데에는 몇 가지 단계가 포함됩니다. 이를 위해 Elasticsearch와 같은 백엔드 저장소도 사용될 수 있습니다. 아래는 이 과정을 자세히 설명한 것입니다. TheHive 설치 및 설정 TheHive를 설치하고 구성합니다. TheHive는 자체적으로 또는 Docker를 사용하여 설치할 수 있습니다. 필요한 패키지와 구성 파일을 설치하고 설정합니다. Cortex 설치 (옵션) Cortex는 TheHive와 통합되어 자동화된 보안 작업을 지원합니다. Cortex를 설치하고 구성하여 TheHive와의 통합을 활성.. 2024. 2. 8.
실시간 보안 이벤트 위협탐지 및 분석대응 SOC 운영환경 강화 SOC(Security Operations Center)의 운영 목표는 조직의 IT 시스템 및 데이터를 보호하고 보안 이벤트를 식별하여 대응하는 것입니다. 주요 목표는 다음과 같습니다. 탐지 및 예방: SOC는 실시간으로 네트워크 및 시스템 활동을 모니터링하여 악의적인 활동을 탐지하고 예방합니다. 대응 및 대처: 이상 징후를 식별하면 SOC는 빠르게 대응하여 보안 이벤트에 대처하고 효과적으로 대응 계획을 실행합니다. 보고 및 분석: SOC는 보고서 및 분석을 통해 보안 상태를 추적하고, 향후 보안 정책 및 절차를 개선하기 위한 인사이트를 도출합니다. SOC는 다양한 방식으로 이러한 목표를 달성합니다. 로그 분석: 시스템 및 네트워크 로그를 실시간으로 분석하여 이상 징후나 침입 행위를 감지합니다. 위협 인.. 2024. 1. 10.
Cortex XSOAR 보안 인프라 자동화로 SIEM 보완 SOC 효율성 향상 TheHive는 오픈 소스 보안 인시던트 응답 플랫폼으로, 보안 팀이 사이버 공격 및 보안 이슈에 대응하는 데 도움을 주는 도구입니다. TheHive는 이벤트 및 알림 관리, 조사, 대화 및 협력을 위한 다양한 기능을 제공합니다. Cortex는 또 다른 오픈 소스 도구로, TheHive와 통합하여 사용할 수 있습니다. Cortex는 다양한 보안 인텔리전스 및 분석 도구를 통합하고, 자동화된 보안 작업을 지원하는 플랫폼입니다. 이것은 보안 분석가 및 대응자들이 사이버 공격에 대응하는 데 필요한 정보를 수집하고 분석하는 데 도움이 됩니다. Cortex는 다양한 서비스를 제공하며, 예를 들어 다음과 같은 기능을 수행할 수 있습니다. 검색 및 인텔리전스 통합: 다양한 보안 인텔리전스 소스에서 정보를 검색하고 수.. 2024. 1. 4.

티스토리툴바