Wazuh3 최근 유행한 Dalbit 그룹과 BlueShell 악성코드 공격 기법 대응책 Dalbit 공격 그룹과 BlueShell 악성코드는 다양한 취약점과 공격 기법을 이용해 시스템을 타겟으로 하며, 특히 리눅스 시스템을 중점적으로 공격하는 것으로 나타났습니다. 이들의 공격은 주로 외부에서 접근 가능한 서버 취약점, 구성 오류, 그리고 사용자의 보안 인식 부족을 이용합니다. 취약점 요약 외부에서 접근 가능한 서버의 소프트웨어 취약점: 공격자들은 공개적으로 알려진 취약점이나 패치가 적용되지 않은 시스템을 이용하여 초기 침투를 시도합니다. 예를 들어, 웹 서버의 취약점, SQL 인젝션, 메일 서버 취약점 등이 이에 해당합니다. 내부 네트워크 설정 오류: 내부 네트워크의 잘못된 구성이나 관리 소홀로 인해 공격자가 내부 네트워크에 쉽게 침투하고 측면 이동을 할 수 있습니다. 사용자 인식 부족: .. 2024. 3. 9. 보안 이벤트 통합 및 보안 사고 대응 플랫폼 TheHive 구성 TheHive는 오픈 소스 보안 사고 대응 플랫폼으로, 이벤트를 통합하고 조직화하여 보안 팀이 보다 효과적으로 대응할 수 있도록 도와줍니다. 리눅스 시스템에서 보안 이벤트를 TheHive로 수집하는 데에는 몇 가지 단계가 포함됩니다. 이를 위해 Elasticsearch와 같은 백엔드 저장소도 사용될 수 있습니다. 아래는 이 과정을 자세히 설명한 것입니다. TheHive 설치 및 설정 TheHive를 설치하고 구성합니다. TheHive는 자체적으로 또는 Docker를 사용하여 설치할 수 있습니다. 필요한 패키지와 구성 파일을 설치하고 설정합니다. Cortex 설치 (옵션) Cortex는 TheHive와 통합되어 자동화된 보안 작업을 지원합니다. Cortex를 설치하고 구성하여 TheHive와의 통합을 활성.. 2024. 2. 8. Wazuh(HIDS), Suricata(NIDS)를 Elastic Stack과 통합하여 보안 분석 개선 Wazuh는 오픈 소스 보안 정보 및 이상 징후 검출 도구로, 보안 모니터링, 이벤트 로깅 및 보안 이상 징후 검출을 위한 효과적인 플랫폼입니다. 이것은 Elastic Stack (Elasticsearch, Logstash, Kibana)와 통합하여 로그 분석 및 보안 이상 징후 감지를 용이하게 만듭니다. Wazuh를 구축하고 활용하는 방법을 단계별로 설명하겠습니다. 단계 1: 시스템 요구 사항 확인 Wazuh를 설치하기 전에 시스템 요구 사항을 확인하세요. 이것은 메모리, CPU, 디스크 공간 등의 하드웨어 요구 사항과 호환되는 운영 체제(예: Ubuntu, CentOS)를 포함합니다. 단계 2: Wazuh 설치 Wazuh는 에이전트와 매니저로 구성됩니다. 에이전트는 모니터링 대상 호스트에 설치되고, .. 2023. 10. 25. 이전 1 다음
