728x90
현대의 소프트웨어 개발 환경에서 보안은 더 이상 선택사항이 아닌 필수 요소가 되었습니다. 특히 컨테이너화된 애플리케이션과 CI/CD 파이프라인의 확산으로 인해 보안 위협의 양상이 복잡해지면서, 개발 초기 단계부터 보안을 통합하는 DevSecOps 접근법이 중요해지고 있습니다. 오픈소스 보안 플랫폼인 Wazuh를 중심으로 DevSecOps 환경에서의 컨테이너 보안 강화 방안입니다.
DevSecOps의 이해와 현대적 접근
1. DevSecOps란 무엇인가?
DevSecOps는 Development(개발), Security(보안), Operations(운영)의 합성어로, 소프트웨어 개발 수명주기(SDLC) 전반에 걸쳐 보안을 통합하는 문화적, 기술적 접근법입니다. 기존의 보안이 개발 완료 후 검증 단계에서 적용되던 것과 달리, DevSecOps는 보안을 개발 프로세스의 모든 단계에 내재화합니다.
DevSecOps의 핵심 원칙
- Shift Left 보안: 보안을 개발 초기 단계로 이동
- 자동화된 보안 테스트: CI/CD 파이프라인에 보안 검증 자동화
- 지속적 모니터링: 실시간 위협 탐지 및 대응
- 협업 문화: 개발팀과 보안팀 간의 협력 강화
2. DevSecOps가 필요한 이유
현대 소프트웨어 개발 환경의 특징은 다음과 같습니다.
- 빠른 배포 주기: 애자일 및 DevOps 방법론으로 인한 릴리즈 주기 단축
- 복잡한 아키텍처: 마이크로서비스, 컨테이너, 클라우드 네이티브 환경
- 증가하는 위협: 공급망 공격, 컨테이너 기반 공격, API 보안 위협
- 규제 요구사항: GDPR, HIPAA, SOX 등 다양한 컴플라이언스 요구사항
이러한 환경에서 전통적인 보안 접근법으로는 한계가 있으며, DevSecOps를 통한 통합적 보안 접근이 필수적입니다.
Wazuh 플랫폼 심화 분석
1. Wazuh 아키텍처 및 핵심 구성요소
Wazuh는 오픈소스 확장형 탐지 및 대응(XDR) 및 보안 정보 및 이벤트 관리(SIEM) 플랫폼으로, 다음과 같은 핵심 구성요소를 포함합니다.
- Wazuh Manager: 중앙 관리 서버, 로그 분석 및 규칙 엔진
- Wazuh Agent: 엔드포인트에 설치되는 경량 에이전트
- Wazuh Dashboard: Elasticsearch 기반 시각화 인터페이스
- Wazuh Indexer: 데이터 저장 및 검색 엔진
2. Wazuh의 핵심 보안 기능
로그 수집 및 분석
Wazuh는 다양한 소스로부터 로그를 수집하고 실시간으로 분석합니다.
- 시스템 로그 (syslog, Windows Event Log)
- 애플리케이션 로그 (Apache, Nginx, Docker 등)
- 네트워크 로그 (방화벽, IDS/IPS)
- 클라우드 서비스 로그 (AWS CloudTrail, Azure Activity Log)
위협 탐지 및 대응
- 실시간 위협 인텔리전스 연동
- MITRE ATT&CK 프레임워크 기반 위협 분류
- 이상 행위 탐지 (Anomaly Detection)
- 자동화된 대응 액션 (Active Response)
취약점 관리
- 시스템 및 애플리케이션 취약점 스캔
- CVE 데이터베이스 연동
- 패치 관리 추적
- 규정 준수 평가
DevSecOps에서 Wazuh의 역할과 활용
1. CI/CD 파이프라인 보안 강화
DevSecOps 환경에서 Wazuh는 CI/CD 파이프라인의 다양한 단계에서 보안을 강화합니다.
300x250
소스 코드 관리 보안
- Git 활동 모니터링: 커밋, 푸시, 브랜치 변경 등 모든 Git 활동 추적
- 코드 저장소 접근 제어: 비정상적인 접근 패턴 탐지
- 시크릿 관리: 하드코딩된 API 키, 패스워드 등 민감 정보 탐지
# Wazuh 규칙 예시: Git 활동 모니터링
<rule id="100001" level="3">
<if_sid>1002</if_sid>
<match>git</match>
<description>Git activity detected</description>
<group>git,</group>
</rule>
<rule id="100002" level="12">
<if_sid>100001</if_sid>
<match>force push</match>
<description>Git force push detected - potential malicious activity</description>
<group>git,attack,</group>
</rule>빌드 프로세스 보안
- 빌드 환경 모니터링: Docker 빌드, 컴파일 프로세스 감시
- 종속성 분석: 서드파티 라이브러리 및 패키지 보안 검증
- 빌드 아티팩트 검증: 빌드된 바이너리의 무결성 확인
배포 파이프라인 보안
- 배포 프로세스 추적: Kubernetes, Docker Swarm 등 오케스트레이션 도구 모니터링
- 인프라 변경 감지: Infrastructure as Code (IaC) 변경사항 추적
- 런타임 보안: 배포된 애플리케이션의 실시간 보안 모니터링
2. 파일 무결성 모니터링 (FIM) 강화
Wazuh의 FIM 기능은 DevSecOps 환경에서 특히 중요한 역할을 합니다.
핵심 모니터링 대상
- 설정 파일: 애플리케이션 및 시스템 설정 파일
- 실행 파일: 바이너리 및 스크립트 파일
- 인증서 및 키: SSL/TLS 인증서, SSH 키 등
- 데이터베이스 파일: 중요 데이터 파일
FIM 구성 예시
<syscheck>
<!-- 중요 시스템 디렉토리 모니터링 -->
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<!-- 애플리케이션 설정 파일 -->
<directories check_all="yes">/opt/app/config</directories>
<!-- 실시간 모니터링 활성화 -->
<directories realtime="yes">/var/log/audit</directories>
<!-- 제외할 파일 형식 -->
<ignore>/etc/mtab</ignore>
<ignore>/etc/hosts.deny</ignore>
<!-- 스캔 주기 설정 -->
<frequency>43200</frequency>
</syscheck>3. Active Response를 통한 자동화된 대응
Wazuh의 Active Response 기능을 활용하여 위협에 대한 즉각적인 대응을 자동화할 수 있습니다.
대응 시나리오
- IP 차단: 악성 트래픽 소스 IP 자동 차단
- 계정 잠금: 비정상적인 로그인 시도 시 계정 자동 잠금
- 프로세스 종료: 악성 프로세스 자동 종료
- 알림 발송: Slack, 이메일 등으로 즉시 알림
Active Response 설정 예시
<active-response>
<disabled>no</disabled>
<command>firewall-drop</command>
<location>local</location>
<rules_id>5712</rules_id>
<timeout>600</timeout>
</active-response>
<active-response>
<disabled>no</disabled>
<command>slack-alert</command>
<location>server</location>
<rules_group>authentication_failures</rules_group>
</active-response>컨테이너 보안과 Trivy 통합
1. 컨테이너 보안의 중요성
컨테이너 기술의 확산으로 인해 컨테이너 보안이 DevSecOps의 핵심 요소가 되었습니다. 컨테이너 환경에서 발생할 수 있는 주요 보안 위협은 다음과 같습니다.
컨테이너 이미지 취약점
- 기본 이미지 취약점: 베이스 OS 이미지의 알려진 취약점
- 애플리케이션 종속성: 패키지 매니저로 설치된 라이브러리 취약점
- 설정 오류: 잘못된 보안 설정 및 권한 구성
런타임 보안 위협
- 컨테이너 탈출: 컨테이너에서 호스트 시스템으로의 권한 상승
- 리소스 남용: CPU, 메모리, 네트워크 리소스 과도한 사용
- 악성 활동: 컨테이너 내부에서의 악성 프로세스 실행
2. Trivy 취약점 스캐너 심화 분석
Trivy는 컨테이너 이미지, 파일시스템, Git 저장소 등에서 취약점을 탐지하는 오픈소스 보안 스캐너입니다.
Trivy의 주요 기능
- 다양한 취약점 데이터베이스 지원: CVE, GitHub Security Advisories, 등
- 다중 언어 지원: Go, Python, Java, Node.js, PHP, Ruby 등
- 설정 오류 탐지: Dockerfile, Kubernetes YAML, Terraform 등
- 라이선스 스캔: 오픈소스 라이선스 컴플라이언스 확인
Trivy 스캔 예시
# 컨테이너 이미지 스캔
trivy image nginx:latest
# 파일시스템 스캔
trivy fs /path/to/project
# Git 저장소 스캔
trivy repo https://github.com/aquasecurity/trivy
# 심각도별 필터링
trivy image --severity HIGH,CRITICAL nginx:latest
# JSON 형식 출력
trivy image --format json nginx:latest3. Wazuh와 Trivy 통합 구현
Wazuh와 Trivy의 통합은 컨테이너 보안을 크게 향상시킵니다. 이 통합을 통해 Trivy의 스캔 결과를 Wazuh로 전송하여 중앙화된 모니터링과 알림을 구현할 수 있습니다.
통합 아키텍처
[Container Registry] → [Trivy Scanner] → [Python Integration Script] → [Wazuh Manager] → [Dashboard/Alerts]Python 통합 스크립트 예시
#!/usr/bin/env python3
import json
import subprocess
import socket
import sys
from datetime import datetime
class TrivyWazuhIntegration:
def __init__(self, wazuh_manager_ip, wazuh_port=1514):
self.wazuh_manager_ip = wazuh_manager_ip
self.wazuh_port = wazuh_port
def scan_image(self, image_name):
"""Trivy로 컨테이너 이미지 스캔"""
try:
cmd = ["trivy", "image", "--format", "json", "--quiet", image_name]
result = subprocess.run(cmd, capture_output=True, text=True, check=True)
return json.loads(result.stdout)
except subprocess.CalledProcessError as e:
print(f"Trivy 스캔 실패: {e}")
return None
def format_wazuh_alert(self, scan_result, image_name):
"""Wazuh 알림 형식으로 변환"""
alerts = []
if 'Results' in scan_result:
for result in scan_result['Results']:
if 'Vulnerabilities' in result:
for vuln in result['Vulnerabilities']:
alert = {
"timestamp": datetime.now().isoformat(),
"rule_id": "100300",
"rule_level": self.get_rule_level(vuln['Severity']),
"description": f"Trivy alert [{vuln['Severity']}]: Vulnerability '{vuln['VulnerabilityID']}' detected in package '{vuln.get('PkgName', 'unknown')}' version '{vuln.get('InstalledVersion', 'unknown')}' on container image '{image_name}'",
"full_log": json.dumps(vuln),
"decoder": {"name": "trivy-scanner"},
"data": {
"vulnerability_id": vuln['VulnerabilityID'],
"severity": vuln['Severity'],
"package_name": vuln.get('PkgName', ''),
"installed_version": vuln.get('InstalledVersion', ''),
"fixed_version": vuln.get('FixedVersion', ''),
"image_name": image_name,
"title": vuln.get('Title', ''),
"description": vuln.get('Description', '')
}
}
alerts.append(alert)
return alerts
def get_rule_level(self, severity):
"""심각도에 따른 Wazuh 규칙 레벨 매핑"""
severity_mapping = {
'CRITICAL': 15,
'HIGH': 12,
'MEDIUM': 8,
'LOW': 5,
'UNKNOWN': 3
}
return severity_mapping.get(severity, 3)
def send_to_wazuh(self, alerts):
"""Wazuh Manager로 알림 전송"""
try:
sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
for alert in alerts:
message = f"1:{json.dumps(alert)}"
sock.sendto(message.encode(), (self.wazuh_manager_ip, self.wazuh_port))
print(f"알림 전송됨: {alert['data']['vulnerability_id']}")
sock.close()
return True
except Exception as e:
print(f"Wazuh 전송 실패: {e}")
return False
def main():
if len(sys.argv) != 3:
print("사용법: python3 trivy_wazuh_integration.py <image_name> <wazuh_manager_ip>")
sys.exit(1)
image_name = sys.argv[1]
wazuh_manager_ip = sys.argv[2]
# 통합 객체 생성
integration = TrivyWazuhIntegration(wazuh_manager_ip)
# 이미지 스캔
print(f"Trivy로 {image_name} 스캔 중...")
scan_result = integration.scan_image(image_name)
if scan_result:
# Wazuh 형식으로 변환
alerts = integration.format_wazuh_alert(scan_result, image_name)
if alerts:
print(f"{len(alerts)}개의 취약점 탐지됨")
# Wazuh로 전송
if integration.send_to_wazuh(alerts):
print("모든 알림이 Wazuh로 전송되었습니다")
else:
print("일부 알림 전송에 실패했습니다")
else:
print("취약점이 발견되지 않았습니다")
else:
print("스캔에 실패했습니다")
if __name__ == "__main__":
main()Wazuh 규칙 설정
<!-- Trivy 스캐너 디코더 -->
<decoder name="trivy-scanner">
<program_name>trivy-scanner</program_name>
</decoder>
<!-- Trivy 취약점 알림 규칙 -->
<rule id="100300" level="0">
<decoded_as>trivy-scanner</decoded_as>
<description>Trivy vulnerability scanner alert</description>
<group>trivy,vulnerability,</group>
</rule>
<rule id="100301" level="15">
<if_sid>100300</if_sid>
<field name="severity">CRITICAL</field>
<description>Critical vulnerability detected by Trivy</description>
<group>trivy,vulnerability,critical,</group>
</rule>
<rule id="100302" level="12">
<if_sid>100300</if_sid>
<field name="severity">HIGH</field>
<description>High severity vulnerability detected by Trivy</description>
<group>trivy,vulnerability,high,</group>
</rule>
<rule id="100303" level="8">
<if_sid>100300</if_sid>
<field name="severity">MEDIUM</field>
<description>Medium severity vulnerability detected by Trivy</description>
<group>trivy,vulnerability,medium,</group>
</rule>4. CI/CD 파이프라인에서의 자동화된 컨테이너 스캔
Jenkins 파이프라인 예시
pipeline {
agent any
stages {
stage('Build') {
steps {
script {
// Docker 이미지 빌드
def image = docker.build("myapp:${env.BUILD_NUMBER}")
}
}
}
stage('Security Scan') {
steps {
script {
// Trivy 스캔 실행
sh """
trivy image --format json --output scan-results.json myapp:${env.BUILD_NUMBER}
python3 /opt/scripts/trivy_wazuh_integration.py myapp:${env.BUILD_NUMBER} ${WAZUH_MANAGER_IP}
"""
// 심각한 취약점이 발견되면 빌드 중단
def scanResults = readJSON file: 'scan-results.json'
def criticalVulns = scanResults.Results?.collect { it.Vulnerabilities?.findAll { vuln -> vuln.Severity == 'CRITICAL' } }?.flatten()?.size() ?: 0
if (criticalVulns > 0) {
error("Critical vulnerabilities found: ${criticalVulns}")
}
}
}
}
stage('Deploy') {
when {
expression { currentBuild.result != 'FAILURE' }
}
steps {
// 배포 로직
sh "docker push myapp:${env.BUILD_NUMBER}"
}
}
}
post {
always {
// 스캔 결과 아카이브
archiveArtifacts artifacts: 'scan-results.json', fingerprint: true
}
}
}GitHub Actions 워크플로우 예시
name: Container Security Scan
on:
push:
branches: [ main, develop ]
pull_request:
branches: [ main ]
jobs:
security-scan:
runs-on: ubuntu-latest
steps:
- name: Checkout code
uses: actions/checkout@v3
- name: Build Docker image
run: |
docker build -t ${{ github.repository }}:${{ github.sha }} .
- name: Run Trivy vulnerability scanner
uses: aquasecurity/trivy-action@master
with:
image-ref: '${{ github.repository }}:${{ github.sha }}'
format: 'json'
output: 'trivy-results.json'
- name: Send results to Wazuh
run: |
python3 .github/scripts/trivy_wazuh_integration.py \
${{ github.repository }}:${{ github.sha }} \
${{ secrets.WAZUH_MANAGER_IP }}
- name: Check for critical vulnerabilities
run: |
CRITICAL_COUNT=$(jq '[.Results[]?.Vulnerabilities[]? | select(.Severity=="CRITICAL")] | length' trivy-results.json)
if [ "$CRITICAL_COUNT" -gt 0 ]; then
echo "Critical vulnerabilities found: $CRITICAL_COUNT"
exit 1
fi
- name: Upload scan results
uses: actions/upload-artifact@v3
with:
name: trivy-scan-results
path: trivy-results.jsonMITRE ATT&CK 프레임워크 통합
1. MITRE ATT&CK 프레임워크 개요
MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)는 실제 관찰된 사이버 공격 기법을 체계적으로 분류한 프레임워크입니다.
- 전술(Tactics): 공격자의 목표 (예: 초기 접근, 지속성, 권한 상승)
- 기법(Techniques): 목표 달성을 위한 방법 (예: 스피어 피싱, 패스워드 공격)
- 하위 기법(Sub-techniques): 기법의 구체적인 구현 방법
2. Wazuh와 MITRE ATT&CK 통합 이점
구조화된 위협 분석
- 탐지된 위협을 ATT&CK 기법에 매핑하여 공격의 전체적인 맥락 파악
- 공격 진행 단계별 가시성 확보
- 위협 인텔리전스와의 연계를 통한 고도화된 분석
개선된 사고 대응
- 표준화된 용어와 분류를 통한 팀 간 의사소통 향상
- 공격 기법별 대응 절차 표준화
- 위협 헌팅 활동의 체계화
3. ATT&CK 기반 Wazuh 규칙 개발
초기 접근 탐지 규칙
<!-- T1566.001: Spearphishing Attachment -->
<rule id="100400" level="10">
<if_sid>1002</if_sid>
<match>suspicious attachment</match>
<description>MITRE ATT&CK T1566.001: Potential spearphishing attachment detected</description>
<group>mitre_attack,initial_access,T1566.001,</group>
<mitre>
<id>T1566.001</id>
<tactic>Initial Access</tactic>
<technique>Phishing: Spearphishing Attachment</technique>
</mitre>
</rule>
<!-- T1078: Valid Accounts -->
<rule id="100401" level="8">
<if_sid>5551</if_sid>
<same_source_ip />
<different_geoip />
<description>MITRE ATT&CK T1078: Multiple login attempts from different geographic locations</description>
<group>mitre_attack,initial_access,T1078,</group>
<mitre>
<id>T1078</id>
<tactic>Initial Access</tactic>
<technique>Valid Accounts</technique>
</mitre>
</rule>지속성 탐지 규칙
<!-- T1053.003: Cron -->
<rule id="100410" level="12">
<if_sid>2832</if_sid>
<match>crontab -e</match>
<description>MITRE ATT&CK T1053.003: Cron job modification detected</description>
<group>mitre_attack,persistence,T1053.003,</group>
<mitre>
<id>T1053.003</id>
<tactic>Persistence</tactic>
<technique>Scheduled Task/Job: Cron</technique>
</mitre>
</rule>
<!-- T1543.002: Systemd Service -->
<rule id="100411" level="12">
<if_sid>1002</if_sid>
<match>systemctl enable</match>
<description>MITRE ATT&CK T1543.002: System service enabled</description>
<group>mitre_attack,persistence,T1543.002,</group>
<mitre>
<id>T1543.002</id>
<tactic>Persistence</tactic>
<technique>Create or Modify System Process: Systemd Service</technique>
</mitre>
</rule>권한 상승 탐지 규칙
<!-- T1548.003: Sudo and Sudo Caching -->
<rule id="100420" level="10">
<if_sid>5401</if_sid>
<match>sudo</match>
<description>MITRE ATT&CK T1548.003: Sudo command execution</description>
<group>mitre_attack,privilege_escalation,T1548.003,</group>
<mitre>
<id>T1548.003</id>
<tactic>Privilege Escalation</tactic>
<technique>Abuse Elevation Control Mechanism: Sudo and Sudo Caching</technique>
</mitre>
</rule>4. ATT&CK 대시보드 구성
Wazuh 대시보드에서 MITRE ATT&CK 기반 시각화를 구성하여 위협 상황을 직관적으로 파악할 수 있습니다.
- ATT&CK 히트맵: 탐지된 기법별 빈도 시각화
- 전술별 분포도: 공격 단계별 위협 분포
- 시계열 분석: 시간대별 공격 기법 동향
- 상세 이벤트 목록: 각 기법별 상세 로그 정보
고급 보안 모니터링 및 자동화
1. 클라우드 네이티브 환경 보안
Kubernetes 보안 모니터링
# Kubernetes 감사 로그 설정
apiVersion: v1
kind: ConfigMap
metadata:
name: wazuh-kubernetes-config
data:
audit-policy.yaml: |
apiVersion: audit.k8s.io/v1
kind: Policy
rules:
- level: RequestResponse
resources:
- group: ""
resources: ["pods", "services"]
- group: "apps"
resources: ["deployments", "replicasets"]
- level: Metadata
resources:
- group: ""
resources: ["secrets", "configmaps"]Docker 컨테이너 런타임 보안
<!-- Docker 컨테이너 보안 규칙 -->
<rule id="100500" level="12">
<if_sid>1002</if_sid>
<match>docker run.*--privileged</match>
<description>Privileged Docker container executed</description>
<group>docker,container_security,</group>
</rule>
<rule id="100501" level="10">
<if_sid>1002</if_sid>
<match>docker exec.*-it</match>
<description>Interactive Docker container access</description>
<group>docker,container_access,</group>
</rule>2. API 보안 모니터링
REST API 보안 규칙
<!-- API 보안 모니터링 규칙 -->
<rule id="100600" level="8">
<if_sid>31103</if_sid>
<url>/api/</url>
<status>401</status>
<description>Unauthorized API access attempt</description>
<group>api_security,authentication_failed,</group>
</rule>
<rule id="100601" level="12">
<if_sid>31103</if_sid>
<url>/api/admin/</url>
<description>Admin API endpoint access</description>
<group>api_security,admin_access,</group>
</rule>
<rule id="100602" level="10">
<if_sid>100600</if_sid>
<same_source_ip />
<timeframe>300</timeframe>
<frequency>10</frequency>
<description>Multiple failed API authentication attempts</description>
<group>api_security,brute_force,</group>
</rule>3. 공급망 보안 (Supply Chain Security)
종속성 모니터링
#!/usr/bin/env python3
"""
소프트웨어 공급망 보안 모니터링 스크립트
"""
import requests
import json
import hashlib
import os
from datetime import datetime
class SupplyChainMonitor:
def __init__(self, wazuh_manager):
self.wazuh_manager = wazuh_manager
self.known_packages = {}
self.load_package_hashes()
def scan_dependencies(self, requirements_file):
"""종속성 파일 스캔"""
with open(requirements_file, 'r') as f:
dependencies = f.read().splitlines()
alerts = []
for dep in dependencies:
if '==' in dep:
package, version = dep.split('==')
alert = self.check_package_integrity(package.strip(), version.strip())
if alert:
alerts.append(alert)
return alerts
def check_package_integrity(self, package, version):
"""패키지 무결성 검증"""
try:
# PyPI API에서 패키지 정보 조회
url = f"https://pypi.org/pypi/{package}/{version}/json"
response = requests.get(url)
if response.status_code == 200:
data = response.json()
# 패키지 해시 검증
current_hash = self.calculate_package_hash(data)
known_hash = self.known_packages.get(f"{package}:{version}")
if known_hash and current_hash != known_hash:
return {
"timestamp": datetime.now().isoformat(),
"rule_id": "100700",
"rule_level": 12,
"description": f"Supply chain alert: Package {package}:{version} hash mismatch",
"data": {
"package": package,
"version": version,
"expected_hash": known_hash,
"current_hash": current_hash
}
}
except Exception as e:
print(f"패키지 검증 실패 {package}:{version}: {e}")
return None
def calculate_package_hash(self, package_data):
"""패키지 메타데이터 해시 계산"""
relevant_data = {
'name': package_data['info']['name'],
'version': package_data['info']['version'],
'author': package_data['info']['author'],
'summary': package_data['info']['summary']
}
return hashlib.sha256(json.dumps(relevant_data, sort_keys=True).encode()).hexdigest()성능 최적화 및 확장성
1. Wazuh 성능 튜닝
에이전트 성능 최적화
<!-- 에이전트 성능 설정 -->
<agent_config>
<!-- 로그 수집 최적화 -->
<localfile>
<log_format>syslog</log_format>
<location>/var/log/messages</location>
<frequency>60</frequency>
</localfile>
<!-- FIM 성능 조정 -->
<syscheck>
<frequency>3600</frequency>
<scan_on_start>no</scan_on_start>
<real_time>yes</real_time>
<report_changes>yes</report_changes>
<alert_new_files>yes</alert_new_files>
</syscheck>
<!-- 리소스 사용량 제한 -->
<client>
<server-ip>WAZUH_MANAGER_IP</server-ip>
<config-profile>high-performance</config-profile>
<notify_time>10</notify_time>
<time-reconnect>60</time-reconnect>
</client>
</agent_config>서버 측 최적화
<!-- Wazuh Manager 성능 설정 -->
<ossec_config>
<global>
<logall>no</logall>
<logall_json>no</logall_json>
<email_notification>no</email_notification>
<memory_size>512</memory_size>
</global>
<alerts>
<log_alert_level>7</log_alert_level>
<email_alert_level>12</email_alert_level>
</alerts>
<remote>
<connection>secure</connection>
<port>1514</port>
<protocol>tcp</protocol>
<queue_size>16384</queue_size>
</remote>
</ossec_config>2. 멀티 테넌트 환경 구성
조직별 에이전트 그룹 관리
#!/bin/bash
# 조직별 에이전트 그룹 설정 스크립트
# 개발팀 그룹 생성
/var/ossec/bin/agent_groups -a -g development -q
# 운영팀 그룹 생성
/var/ossec/bin/agent_groups -a -g production -q
# 보안팀 그룹 생성
/var/ossec/bin/agent_groups -a -g security -q
# 그룹별 설정 파일 생성
cat > /var/ossec/etc/shared/development/agent.conf << EOF
<agent_config>
<syscheck>
<frequency>7200</frequency>
<directories check_all="yes">/opt/app</directories>
</syscheck>
</agent_config>
EOF
cat > /var/ossec/etc/shared/production/agent.conf << EOF
<agent_config>
<syscheck>
<frequency>3600</frequency>
<directories check_all="yes" realtime="yes">/opt/app</directories>
</syscheck>
</agent_config>
EOF컴플라이언스 및 거버넌스
1. 규제 준수 자동화
GDPR 컴플라이언스 모니터링
<!-- GDPR 관련 규칙 -->
<rule id="100800" level="8">
<if_sid>1002</if_sid>
<match>personal_data_access</match>
<description>GDPR: Personal data access detected</description>
<group>gdpr,privacy,data_access,</group>
</rule>
<rule id="100801" level="12">
<if_sid>1002</if_sid>
<match>data_export|personal_data_export</match>
<description>GDPR: Personal data export detected</description>
<group>gdpr,privacy,data_export,</group>
</rule>SOX 컴플라이언스 모니터링
<!-- SOX 관련 규칙 -->
<rule id="100810" level="10">
<if_sid>5551</if_sid>
<user>admin|root|financial_user</user>
<description>SOX: Privileged user login</description>
<group>sox,financial,privileged_access,</group>
</rule>
<rule id="100811" level="12">
<if_sid>550</if_sid>
<match>financial_data</match>
<description>SOX: Financial data modification</description>
<group>sox,financial,data_modification,</group>
</rule>2. 자동화된 컴플라이언스 리포팅
컴플라이언스 리포트 생성 스크립트
#!/usr/bin/env python3
"""
자동화된 컴플라이언스 리포트 생성기
"""
import json
import requests
from datetime import datetime, timedelta
import pandas as pd
from elasticsearch import Elasticsearch
class ComplianceReporter:
def __init__(self, elasticsearch_host, wazuh_api_url, api_credentials):
self.es = Elasticsearch([elasticsearch_host])
self.wazuh_api = wazuh_api_url
self.credentials = api_credentials
def generate_gdpr_report(self, start_date, end_date):
"""GDPR 컴플라이언스 리포트 생성"""
query = {
"query": {
"bool": {
"must": [
{"match": {"rule.groups": "gdpr"}},
{"range": {"timestamp": {"gte": start_date, "lte": end_date}}}
]
}
}
}
results = self.es.search(index="wazuh-alerts-*", body=query, size=10000)
# 데이터 처리
alerts = []
for hit in results['hits']['hits']:
alert = hit['_source']
alerts.append({
'timestamp': alert['timestamp'],
'agent_name': alert.get('agent', {}).get('name', 'Unknown'),
'description': alert.get('rule', {}).get('description', ''),
'level': alert.get('rule', {}).get('level', 0),
'groups': alert.get('rule', {}).get('groups', [])
})
# DataFrame 생성 및 분석
df = pd.DataFrame(alerts)
report = {
'period': f"{start_date} to {end_date}",
'total_events': len(alerts),
'by_severity': df.groupby('level').size().to_dict(),
'by_agent': df.groupby('agent_name').size().to_dict(),
'timeline': df.groupby(df['timestamp'].str[:10]).size().to_dict()
}
return report
def generate_sox_report(self, start_date, end_date):
"""SOX 컴플라이언스 리포트 생성"""
# SOX 관련 이벤트 조회 로직
pass
def export_report(self, report, filename):
"""리포트를 파일로 내보내기"""
with open(filename, 'w') as f:
json.dump(report, f, indent=2, default=str)
print(f"리포트가 {filename}에 저장되었습니다")
# 사용 예시
if __name__ == "__main__":
reporter = ComplianceReporter(
elasticsearch_host="localhost:9200",
wazuh_api_url="https://wazuh-manager:55000",
api_credentials={"username": "admin", "password": "password"}
)
end_date = datetime.now()
start_date = end_date - timedelta(days=30)
gdpr_report = reporter.generate_gdpr_report(
start_date.isoformat(),
end_date.isoformat()
)
reporter.export_report(gdpr_report, f"gdpr_report_{end_date.strftime('%Y%m%d')}.json")모니터링 및 알림 최적화
1. 지능형 알림 시스템
알림 우선순위화
<!-- 알림 우선순위 규칙 -->
<rule id="100900" level="15">
<if_sid>100301</if_sid>
<field name="data.severity">CRITICAL</field>
<field name="data.package_name">openssl|kernel|glibc</field>
<description>Critical vulnerability in core system component</description>
<options>alert_by_email</options>
<group>critical_system,immediate_action_required,</group>
</rule>
<rule id="100901" level="12">
<if_sid>100302</if_sid>
<field name="data.image_name">production</field>
<description>High severity vulnerability in production image</description>
<options>alert_by_email</options>
<group>production_security,high_priority,</group>
</rule>중복 알림 필터링
<!-- 중복 알림 방지 -->
<rule id="100910" level="0">
<if_sid>100301,100302,100303</if_sid>
<same_field>data.vulnerability_id</same_field>
<same_field>data.image_name</same_field>
<timeframe>3600</timeframe>
<ignore>7200</ignore>
<description>Duplicate vulnerability alert ignored</description>
</rule>2. Slack 통합 알림
Slack 알림 스크립트
#!/usr/bin/env python3
"""
Wazuh Slack 알림 통합
"""
import json
import sys
import requests
from datetime import datetime
class SlackNotifier:
def __init__(self, webhook_url):
self.webhook_url = webhook_url
def format_security_alert(self, alert_data):
"""보안 알림을 Slack 형식으로 변환"""
rule = alert_data.get('rule', {})
agent = alert_data.get('agent', {})
data = alert_data.get('data', {})
# 심각도에 따른 색상 설정
color_map = {
15: "#FF0000", # Critical - Red
12: "#FF8C00", # High - Orange
8: "#FFD700", # Medium - Yellow
5: "#32CD32", # Low - Green
3: "#87CEEB" # Info - Light Blue
}
color = color_map.get(rule.get('level', 3), "#87CEEB")
# Slack 메시지 구성
attachment = {
"color": color,
"title": f"🚨 Wazuh Security Alert",
"title_link": f"https://wazuh-dashboard.company.com/alerts/{alert_data.get('id', '')}",
"fields": [
{
"title": "Description",
"value": rule.get('description', 'Unknown alert'),
"short": False
},
{
"title": "Severity",
"value": f"Level {rule.get('level', 'Unknown')}",
"short": True
},
{
"title": "Agent",
"value": agent.get('name', 'Unknown'),
"short": True
},
{
"title": "Timestamp",
"value": alert_data.get('timestamp', datetime.now().isoformat()),
"short": True
}
],
"footer": "Wazuh Security Platform",
"footer_icon": "https://wazuh.com/favicon.ico",
"ts": int(datetime.now().timestamp())
}
# 취약점 정보가 있는 경우 추가 필드
if 'vulnerability_id' in data:
attachment['fields'].extend([
{
"title": "Vulnerability ID",
"value": data['vulnerability_id'],
"short": True
},
{
"title": "Package",
"value": f"{data.get('package_name', '')} ({data.get('installed_version', '')})",
"short": True
}
])
return {
"username": "Wazuh Security Bot",
"icon_emoji": ":shield:",
"attachments": [attachment]
}
def send_alert(self, alert_data):
"""Slack으로 알림 전송"""
try:
message = self.format_security_alert(alert_data)
response = requests.post(
self.webhook_url,
json=message,
headers={'Content-Type': 'application/json'}
)
if response.status_code == 200:
print("Slack 알림이 성공적으로 전송되었습니다")
return True
else:
print(f"Slack 알림 전송 실패: {response.status_code}")
return False
except Exception as e:
print(f"Slack 알림 전송 중 오류 발생: {e}")
return False
def main():
if len(sys.argv) < 2:
print("사용법: python3 slack_notifier.py <alert_json>")
sys.exit(1)
# Wazuh에서 전달받은 알림 데이터
alert_json = sys.argv[1]
alert_data = json.loads(alert_json)
# Slack 웹훅 URL (환경 변수에서 가져오기 권장)
webhook_url = "https://hooks.slack.com/services/YOUR/SLACK/WEBHOOK"
notifier = SlackNotifier(webhook_url)
notifier.send_alert(alert_data)
if __name__ == "__main__":
main()고급 활용 사례 및 베스트 프랙티스
1. DevSecOps 성숙도 모델: 단계별 구현 로드맵
Level 1: 기본 보안 모니터링
- Wazuh 에이전트 배포 및 기본 로그 수집
- 기본 취약점 스캔 (Trivy 통합)
- 파일 무결성 모니터링 설정
- 기본 알림 시스템 구축
Level 2: 자동화된 보안 통합
- CI/CD 파이프라인 보안 자동화
- 컨테이너 이미지 보안 스캔 자동화
- MITRE ATT&CK 기반 위협 분류
- Active Response 자동화
Level 3: 지능형 보안 운영
- 머신러닝 기반 이상 탐지
- 위협 헌팅 자동화
- 고급 컴플라이언스 모니터링
- 통합 보안 대시보드
Level 4: 예측적 보안 관리
- 위협 인텔리전스 통합
- 예측적 보안 분석
- 자동화된 사고 대응
- 지속적 보안 개선
2. 성능 벤치마킹 및 모니터링
Wazuh 성능 메트릭 수집
#!/usr/bin/env python3
"""
Wazuh 성능 모니터링 스크립트
"""
import psutil
import requests
import json
import time
from datetime import datetime
class WazuhPerformanceMonitor:
def __init__(self, wazuh_api_url, credentials):
self.api_url = wazuh_api_url
self.credentials = credentials
self.auth_token = self.get_auth_token()
def get_auth_token(self):
"""Wazuh API 인증 토큰 획득"""
auth_url = f"{self.api_url}/security/user/authenticate"
response = requests.post(auth_url, json=self.credentials)
if response.status_code == 200:
return response.json()['data']['token']
else:
raise Exception("인증 실패")
def get_system_metrics(self):
"""시스템 리소스 사용량 수집"""
return {
'timestamp': datetime.now().isoformat(),
'cpu_percent': psutil.cpu_percent(interval=1),
'memory_percent': psutil.virtual_memory().percent,
'disk_usage': psutil.disk_usage('/').percent,
'network_io': dict(psutil.net_io_counters()._asdict()),
'process_count': len(psutil.pids())
}
def get_wazuh_metrics(self):
"""Wazuh 특정 메트릭 수집"""
headers = {'Authorization': f'Bearer {self.auth_token}'}
# 에이전트 상태
agents_url = f"{self.api_url}/agents"
agents_response = requests.get(agents_url, headers=headers)
agents_data = agents_response.json()
# 규칙 통계
rules_url = f"{self.api_url}/rules"
rules_response = requests.get(rules_url, headers=headers)
rules_data = rules_response.json()
return {
'timestamp': datetime.now().isoformat(),
'total_agents': agents_data['data']['total_affected_items'],
'active_agents': len([a for a in agents_data['data']['affected_items'] if a['status'] == 'active']),
'total_rules': rules_data['data']['total_affected_items'],
'custom_rules': len([r for r in rules_data['data']['affected_items'] if r.get('filename', '').startswith('local')])
}
def collect_performance_data(self, duration_minutes=60):
"""지정된 시간 동안 성능 데이터 수집"""
metrics = []
end_time = time.time() + (duration_minutes * 60)
while time.time() < end_time:
try:
system_metrics = self.get_system_metrics()
wazuh_metrics = self.get_wazuh_metrics()
combined_metrics = {**system_metrics, **wazuh_metrics}
metrics.append(combined_metrics)
print(f"메트릭 수집됨: {combined_metrics['timestamp']}")
time.sleep(60) # 1분 간격
except Exception as e:
print(f"메트릭 수집 오류: {e}")
time.sleep(60)
return metrics
def generate_performance_report(self, metrics):
"""성능 리포트 생성"""
if not metrics:
return None
# 평균값 계산
avg_cpu = sum(m['cpu_percent'] for m in metrics) / len(metrics)
avg_memory = sum(m['memory_percent'] for m in metrics) / len(metrics)
avg_disk = sum(m['disk_usage'] for m in metrics) / len(metrics)
# 최대값 계산
max_cpu = max(m['cpu_percent'] for m in metrics)
max_memory = max(m['memory_percent'] for m in metrics)
report = {
'collection_period': {
'start': metrics[0]['timestamp'],
'end': metrics[-1]['timestamp'],
'duration_minutes': len(metrics)
},
'system_performance': {
'cpu': {
'average': round(avg_cpu, 2),
'maximum': round(max_cpu, 2)
},
'memory': {
'average': round(avg_memory, 2),
'maximum': round(max_memory, 2)
},
'disk_usage': round(avg_disk, 2)
},
'wazuh_metrics': {
'total_agents': metrics[-1]['total_agents'],
'active_agents': metrics[-1]['active_agents'],
'total_rules': metrics[-1]['total_rules'],
'custom_rules': metrics[-1]['custom_rules']
},
'recommendations': self.generate_recommendations(avg_cpu, avg_memory, max_cpu, max_memory)
}
return report
def generate_recommendations(self, avg_cpu, avg_memory, max_cpu, max_memory):
"""성능 최적화 권장사항 생성"""
recommendations = []
if avg_cpu > 70:
recommendations.append("CPU 사용률이 높습니다. 에이전트 수를 줄이거나 서버 업그레이드를 고려하세요.")
if avg_memory > 80:
recommendations.append("메모리 사용률이 높습니다. 메모리 증설 또는 로그 보관 정책 조정을 권장합니다.")
if max_cpu > 90:
recommendations.append("CPU 사용률 스파이크가 발생했습니다. 로그 처리 규칙을 최적화하세요.")
if max_memory > 95:
recommendations.append("메모리 부족 상황이 발생했습니다. 즉시 메모리 증설이 필요합니다.")
return recommendations3. 재해 복구 및 고가용성
Wazuh 클러스터 구성
# Docker Compose를 이용한 고가용성 Wazuh 클러스터
version: '3.8'
services:
wazuh-master:
image: wazuh/wazuh-manager:latest
hostname: wazuh-master
environment:
- WAZUH_CLUSTER_NODE_TYPE=master
- WAZUH_CLUSTER_NODE_NAME=master-node
- WAZUH_CLUSTER_KEY=your-cluster-key
- WAZUH_CLUSTER_NODES=wazuh-master,wazuh-worker1,wazuh-worker2
volumes:
- wazuh-master-data:/var/ossec/data
- wazuh-master-logs:/var/ossec/logs
- wazuh-master-etc:/var/ossec/etc
ports:
- "1514:1514"
- "1515:1515"
- "55000:55000"
networks:
- wazuh-cluster
wazuh-worker1:
image: wazuh/wazuh-manager:latest
hostname: wazuh-worker1
environment:
- WAZUH_CLUSTER_NODE_TYPE=worker
- WAZUH_CLUSTER_NODE_NAME=worker1-node
- WAZUH_CLUSTER_KEY=your-cluster-key
- WAZUH_CLUSTER_NODES=wazuh-master,wazuh-worker1,wazuh-worker2
volumes:
- wazuh-worker1-data:/var/ossec/data
- wazuh-worker1-logs:/var/ossec/logs
- wazuh-worker1-etc:/var/ossec/etc
networks:
- wazuh-cluster
depends_on:
- wazuh-master
wazuh-worker2:
image: wazuh/wazuh-manager:latest
hostname: wazuh-worker2
environment:
- WAZUH_CLUSTER_NODE_TYPE=worker
- WAZUH_CLUSTER_NODE_NAME=worker2-node
- WAZUH_CLUSTER_KEY=your-cluster-key
- WAZUH_CLUSTER_NODES=wazuh-master,wazuh-worker1,wazuh-worker2
volumes:
- wazuh-worker2-data:/var/ossec/data
- wazuh-worker2-logs:/var/ossec/logs
- wazuh-worker2-etc:/var/ossec/etc
networks:
- wazuh-cluster
depends_on:
- wazuh-master
elasticsearch:
image: docker.elastic.co/elasticsearch/elasticsearch:7.17.0
environment:
- discovery.type=single-node
- "ES_JAVA_OPTS=-Xms2g -Xmx2g"
- cluster.name=wazuh-cluster
- bootstrap.memory_lock=true
ulimits:
memlock:
soft: -1
hard: -1
volumes:
- elasticsearch-data:/usr/share/elasticsearch/data
ports:
- "9200:9200"
networks:
- wazuh-cluster
kibana:
image: wazuh/wazuh-kibana:latest
environment:
- ELASTICSEARCH_URL=http://elasticsearch:9200
- WAZUH_API_URL=http://wazuh-master:55000
ports:
- "5601:5601"
networks:
- wazuh-cluster
depends_on:
- elasticsearch
- wazuh-master
volumes:
wazuh-master-data:
wazuh-master-logs:
wazuh-master-etc:
wazuh-worker1-data:
wazuh-worker1-logs:
wazuh-worker1-etc:
wazuh-worker2-data:
wazuh-worker2-logs:
wazuh-worker2-etc:
elasticsearch-data:
networks:
wazuh-cluster:
driver: bridge백업 및 복구 스크립트
#!/bin/bash
"""
Wazuh 백업 및 복구 자동화 스크립트
"""
BACKUP_DIR="/opt/wazuh-backup"
WAZUH_HOME="/var/ossec"
DATE=$(date +%Y%m%d_%H%M%S)
RETENTION_DAYS=30
# 백업 함수
backup_wazuh() {
echo "Wazuh 백업 시작: $DATE"
# 백업 디렉토리 생성
mkdir -p "$BACKUP_DIR/$DATE"
# Wazuh 서비스 정지
systemctl stop wazuh-manager
# 설정 백업
echo "설정 파일 백업 중..."
tar -czf "$BACKUP_DIR/$DATE/wazuh-config.tar.gz" \
"$WAZUH_HOME/etc" \
"$WAZUH_HOME/rules" \
"$WAZUH_HOME/decoders"
# 데이터 백업
echo "데이터 파일 백업 중..."
tar -czf "$BACKUP_DIR/$DATE/wazuh-data.tar.gz" \
"$WAZUH_HOME/logs" \
"$WAZUH_HOME/var" \
"$WAZUH_HOME/stats"
# 에이전트 키 백업
echo "에이전트 키 백업 중..."
cp "$WAZUH_HOME/etc/client.keys" "$BACKUP_DIR/$DATE/"
# Elasticsearch 데이터 백업
echo "Elasticsearch 데이터 백업 중..."
curl -X PUT "localhost:9200/_snapshot/wazuh_backup" -H 'Content-Type: application/json' -d'
{
"type": "fs",
"settings": {
"location": "/opt/elasticsearch-backup"
}
}'
curl -X PUT "localhost:9200/_snapshot/wazuh_backup/snapshot_$DATE" -H 'Content-Type: application/json' -d'
{
"indices": "wazuh-*",
"ignore_unavailable": true,
"include_global_state": false
}'
# Wazuh 서비스 재시작
systemctl start wazuh-manager
# 백업 검증
if [ -f "$BACKUP_DIR/$DATE/wazuh-config.tar.gz" ] && [ -f "$BACKUP_DIR/$DATE/wazuh-data.tar.gz" ]; then
echo "백업 완료: $BACKUP_DIR/$DATE"
# 백업 정보를 Wazuh로 전송
logger -p local0.info "Wazuh backup completed successfully: $DATE"
else
echo "백업 실패!"
logger -p local0.error "Wazuh backup failed: $DATE"
exit 1
fi
}
# 복구 함수
restore_wazuh() {
RESTORE_DATE=$1
if [ -z "$RESTORE_DATE" ]; then
echo "사용법: $0 restore <backup_date>"
echo "사용 가능한 백업:"
ls -la "$BACKUP_DIR/"
exit 1
fi
if [ ! -d "$BACKUP_DIR/$RESTORE_DATE" ]; then
echo "백업 디렉토리를 찾을 수 없습니다: $BACKUP_DIR/$RESTORE_DATE"
exit 1
fi
echo "Wazuh 복구 시작: $RESTORE_DATE"
# Wazuh 서비스 정지
systemctl stop wazuh-manager
# 기존 데이터 백업 (안전을 위해)
mv "$WAZUH_HOME/etc" "$WAZUH_HOME/etc.bak.$(date +%s)"
mv "$WAZUH_HOME/var" "$WAZUH_HOME/var.bak.$(date +%s)"
# 설정 복구
echo "설정 파일 복구 중..."
cd /
tar -xzf "$BACKUP_DIR/$RESTORE_DATE/wazuh-config.tar.gz"
# 데이터 복구
echo "데이터 파일 복구 중..."
tar -xzf "$BACKUP_DIR/$RESTORE_DATE/wazuh-data.tar.gz"
# 에이전트 키 복구
cp "$BACKUP_DIR/$RESTORE_DATE/client.keys" "$WAZUH_HOME/etc/"
# 권한 설정
chown -R ossec:ossec "$WAZUH_HOME"
chmod -R 750 "$WAZUH_HOME"
# Wazuh 서비스 시작
systemctl start wazuh-manager
echo "복구 완료: $RESTORE_DATE"
logger -p local0.info "Wazuh restore completed: $RESTORE_DATE"
}
# 오래된 백업 정리
cleanup_old_backups() {
echo "오래된 백업 정리 중... (${RETENTION_DAYS}일 이상)"
find "$BACKUP_DIR" -type d -name "20*" -mtime +$RETENTION_DAYS -exec rm -rf {} \;
echo "백업 정리 완료"
}
# 헬스체크 함수
health_check() {
echo "Wazuh 헬스체크 실행..."
# 서비스 상태 확인
if ! systemctl is-active --quiet wazuh-manager; then
echo "ERROR: Wazuh Manager가 실행되지 않음"
return 1
fi
# API 응답 확인
if ! curl -s -f http://localhost:55000/ > /dev/null; then
echo "ERROR: Wazuh API 응답 없음"
return 1
fi
# 에이전트 연결 확인
ACTIVE_AGENTS=$(curl -s -u wazuh:wazuh -k -X GET "https://localhost:55000/agents?status=active" | jq '.data.total_affected_items')
echo "활성 에이전트 수: $ACTIVE_AGENTS"
# Elasticsearch 연결 확인
if ! curl -s http://localhost:9200/_cluster/health | jq -e '.status == "green" or .status == "yellow"' > /dev/null; then
echo "WARNING: Elasticsearch 클러스터 상태 이상"
return 1
fi
echo "헬스체크 통과"
return 0
}
# 메인 로직
case "$1" in
backup)
backup_wazuh
cleanup_old_backups
;;
restore)
restore_wazuh "$2"
;;
health)
health_check
;;
*)
echo "사용법: $0 {backup|restore <date>|health}"
echo "예시:"
echo " $0 backup # 백업 실행"
echo " $0 restore 20231201_120000 # 특정 날짜로 복구"
echo " $0 health # 헬스체크 실행"
exit 1
;;
esac4. 고급 위협 헌팅
자동화된 위협 헌팅 스크립트
#!/usr/bin/env python3
"""
자동화된 위협 헌팅 시스템
"""
import json
import requests
import pandas as pd
from datetime import datetime, timedelta
from elasticsearch import Elasticsearch
import numpy as np
from sklearn.cluster import DBSCAN
from sklearn.preprocessing import StandardScaler
class ThreatHunter:
def __init__(self, elasticsearch_host, wazuh_api_url, api_credentials):
self.es = Elasticsearch([elasticsearch_host])
self.wazuh_api = wazuh_api_url
self.credentials = api_credentials
self.hunting_rules = self.load_hunting_rules()
def load_hunting_rules(self):
"""위협 헌팅 규칙 로드"""
return {
'lateral_movement': {
'description': 'Lateral movement detection',
'query': {
'bool': {
'must': [
{'range': {'rule.level': {'gte': 5}}},
{'terms': {'rule.groups': ['authentication_success', 'authentication_failed']}},
{'range': {'timestamp': {'gte': 'now-1h'}}}
]
}
},
'threshold': 10,
'time_window': '1h'
},
'privilege_escalation': {
'description': 'Privilege escalation attempts',
'query': {
'bool': {
'must': [
{'match': {'data.srcuser': 'root'}},
{'range': {'rule.level': {'gte': 8}}},
{'range': {'timestamp': {'gte': 'now-2h'}}}
]
}
},
'threshold': 5,
'time_window': '2h'
},
'data_exfiltration': {
'description': 'Potential data exfiltration',
'query': {
'bool': {
'must': [
{'terms': {'rule.groups': ['web', 'apache', 'nginx']}},
{'range': {'data.size': {'gte': 1000000}}}, # 1MB 이상
{'range': {'timestamp': {'gte': 'now-4h'}}}
]
}
},
'threshold': 3,
'time_window': '4h'
}
}
def hunt_lateral_movement(self):
"""측면 이동 공격 탐지"""
print("측면 이동 공격 헌팅 시작...")
query = {
"query": {
"bool": {
"must": [
{"range": {"timestamp": {"gte": "now-1h"}}},
{"terms": {"rule.groups": ["authentication_success"]}}
]
}
},
"aggs": {
"by_user": {
"terms": {"field": "data.srcuser.keyword", "size": 100},
"aggs": {
"unique_ips": {"cardinality": {"field": "data.srcip.keyword"}},
"unique_hosts": {"cardinality": {"field": "agent.name.keyword"}}
}
}
}
}
result = self.es.search(index="wazuh-alerts-*", body=query, size=0)
suspicious_users = []
for bucket in result['aggregations']['by_user']['buckets']:
user = bucket['key']
unique_ips = bucket['unique_ips']['value']
unique_hosts = bucket['unique_hosts']['value']
# 의심스러운 패턴: 한 사용자가 여러 IP에서 여러 호스트에 접근
if unique_ips > 3 and unique_hosts > 5:
suspicious_users.append({
'user': user,
'unique_ips': unique_ips,
'unique_hosts': unique_hosts,
'risk_score': unique_ips * unique_hosts
})
return sorted(suspicious_users, key=lambda x: x['risk_score'], reverse=True)
def hunt_anomalous_behavior(self):
"""이상 행위 탐지 (머신러닝 기반)"""
print("이상 행위 패턴 분석 중...")
# 최근 24시간 데이터 수집
query = {
"query": {
"range": {"timestamp": {"gte": "now-24h"}}
},
"size": 10000
}
result = self.es.search(index="wazuh-alerts-*", body=query)
# 특성 추출
features = []
for hit in result['hits']['hits']:
alert = hit['_source']
feature = [
alert.get('rule', {}).get('level', 0),
len(alert.get('rule', {}).get('groups', [])),
len(alert.get('full_log', '')),
hash(alert.get('agent', {}).get('name', '')) % 1000, # 에이전트 해시
alert.get('timestamp', '').count(':') # 시간 복잡도 지표
]
features.append(feature)
if len(features) < 10:
return []
# 데이터 정규화
scaler = StandardScaler()
features_scaled = scaler.fit_transform(features)
# DBSCAN 클러스터링으로 이상값 탐지
dbscan = DBSCAN(eps=0.5, min_samples=5)
clusters = dbscan.fit_predict(features_scaled)
# 이상값 (노이즈) 식별
anomalies = []
for i, cluster in enumerate(clusters):
if cluster == -1: # 노이즈(이상값)
anomalies.append({
'index': i,
'alert_id': result['hits']['hits'][i]['_id'],
'features': features[i],
'alert_data': result['hits']['hits'][i]['_source']
})
return anomalies[:10] # 상위 10개만 반환
def hunt_insider_threats(self):
"""내부자 위협 탐지"""
print("내부자 위협 헌팅 시작...")
# 비정상적인 시간대 활동
query = {
"query": {
"bool": {
"must": [
{"range": {"timestamp": {"gte": "now-7d"}}},
{"script": {
"script": {
"source": """
def hour = doc['timestamp'].value.getHour();
return hour < 6 || hour > 22;
"""
}
}}
]
}
},
"aggs": {
"by_user": {
"terms": {"field": "data.srcuser.keyword", "size": 50},
"aggs": {
"activity_count": {"value_count": {"field": "timestamp"}},
"unique_actions": {"cardinality": {"field": "rule.description.keyword"}}
}
}
}
}
result = self.es.search(index="wazuh-alerts-*", body=query, size=0)
suspicious_insiders = []
for bucket in result['aggregations']['by_user']['buckets']:
user = bucket['key']
activity_count = bucket['activity_count']['value']
unique_actions = bucket['unique_actions']['value']
# 의심 기준: 비정상 시간대에 많은 활동
if activity_count > 50 and unique_actions > 10:
suspicious_insiders.append({
'user': user,
'off_hours_activity': activity_count,
'unique_actions': unique_actions,
'risk_score': activity_count * unique_actions * 0.1
})
return sorted(suspicious_insiders, key=lambda x: x['risk_score'], reverse=True)
def generate_hunting_report(self):
"""종합 위협 헌팅 리포트 생성"""
print("위협 헌팅 리포트 생성 중...")
report = {
'timestamp': datetime.now().isoformat(),
'hunting_results': {
'lateral_movement': self.hunt_lateral_movement(),
'anomalous_behavior': self.hunt_anomalous_behavior(),
'insider_threats': self.hunt_insider_threats()
},
'summary': {},
'recommendations': []
}
# 요약 통계 계산
report['summary'] = {
'total_lateral_movement_suspects': len(report['hunting_results']['lateral_movement']),
'total_anomalies': len(report['hunting_results']['anomalous_behavior']),
'total_insider_threats': len(report['hunting_results']['insider_threats'])
}
# 권장사항 생성
if report['summary']['total_lateral_movement_suspects'] > 0:
report['recommendations'].append("측면 이동 의심 활동이 탐지되었습니다. 네트워크 세그멘테이션을 강화하세요.")
if report['summary']['total_anomalies'] > 5:
report['recommendations'].append("다수의 이상 행위가 탐지되었습니다. 상세 조사가 필요합니다.")
if report['summary']['total_insider_threats'] > 0:
report['recommendations'].append("내부자 위협 가능성이 있습니다. 사용자 행위 분석을 강화하세요.")
return report
def export_report(self, report, filename=None):
"""리포트 내보내기"""
if not filename:
filename = f"threat_hunting_report_{datetime.now().strftime('%Y%m%d_%H%M%S')}.json"
with open(filename, 'w', encoding='utf-8') as f:
json.dump(report, f, indent=2, ensure_ascii=False, default=str)
print(f"위협 헌팅 리포트가 저장되었습니다: {filename}")
return filename
# 메인 실행 함수
def main():
hunter = ThreatHunter(
elasticsearch_host="localhost:9200",
wazuh_api_url="https://localhost:55000",
api_credentials={"username": "wazuh", "password": "wazuh"}
)
# 위협 헌팅 실행
report = hunter.generate_hunting_report()
# 리포트 출력
print("\n=== 위협 헌팅 결과 ===")
print(f"측면 이동 의심자: {report['summary']['total_lateral_movement_suspects']}명")
print(f"이상 행위 탐지: {report['summary']['total_anomalies']}건")
print(f"내부자 위협 의심: {report['summary']['total_insider_threats']}명")
if report['recommendations']:
print("\n=== 권장사항 ===")
for rec in report['recommendations']:
print(f"- {rec}")
# 리포트 저장
hunter.export_report(report)
if __name__ == "__main__":
main()5. 보안 메트릭 및 KPI 대시보드
보안 KPI 추적 시스템
#!/usr/bin/env python3
"""
DevSecOps 보안 KPI 추적 및 리포팅 시스템
"""
import json
import requests
from datetime import datetime, timedelta
from elasticsearch import Elasticsearch
import matplotlib.pyplot as plt
import seaborn as sns
import pandas as pd
class SecurityMetricsTracker:
def __init__(self, elasticsearch_host, wazuh_api_url):
self.es = Elasticsearch([elasticsearch_host])
self.wazuh_api = wazuh_api_url
self.kpis = {}
def calculate_security_posture_score(self):
"""전체 보안 자세 점수 계산"""
print("보안 자세 점수 계산 중...")
# 기본 점수 100점에서 시작
base_score = 100
deductions = 0
# 1. 취약점 점수 (40점 만점)
vuln_score = self.calculate_vulnerability_score()
deductions += (40 - vuln_score)
# 2. 위협 탐지 점수 (30점 만점)
threat_score = self.calculate_threat_detection_score()
deductions += (30 - threat_score)
# 3. 컴플라이언스 점수 (20점 만점)
compliance_score = self.calculate_compliance_score()
deductions += (20 - compliance_score)
# 4. 사고 대응 점수 (10점 만점)
incident_score = self.calculate_incident_response_score()
deductions += (10 - incident_score)
final_score = max(0, base_score - deductions)
return {
'total_score': final_score,
'vulnerability_score': vuln_score,
'threat_detection_score': threat_score,
'compliance_score': compliance_score,
'incident_response_score': incident_score,
'grade': self.get_security_grade(final_score)
}
def calculate_vulnerability_score(self):
"""취약점 관리 점수 계산"""
query = {
"query": {
"bool": {
"must": [
{"match": {"rule.groups": "vulnerability"}},
{"range": {"timestamp": {"gte": "now-30d"}}}
]
}
},
"aggs": {
"by_severity": {
"terms": {"field": "data.severity.keyword"}
}
}
}
result = self.es.search(index="wazuh-alerts-*", body=query, size=0)
severity_weights = {'CRITICAL': 10, 'HIGH': 5, 'MEDIUM': 2, 'LOW': 1}
total_weight = 0
for bucket in result['aggregations']['by_severity']['buckets']:
severity = bucket['key']
count = bucket['doc_count']
weight = severity_weights.get(severity, 0)
total_weight += count * weight
# 점수 계산 (낮을수록 좋음)
if total_weight == 0:
return 40
elif total_weight <= 10:
return 35
elif total_weight <= 50:
return 25
elif total_weight <= 100:
return 15
else:
return 5
def calculate_threat_detection_score(self):
"""위협 탐지 효과성 점수"""
query = {
"query": {
"bool": {
"must": [
{"range": {"rule.level": {"gte": 10}}},
{"range": {"timestamp": {"gte": "now-30d"}}}
]
}
},
"aggs": {
"by_mitre": {
"terms": {"field": "rule.mitre.id.keyword", "size": 20}
}
}
}
result = self.es.search(index="wazuh-alerts-*", body=query, size=0)
total_alerts = result['hits']['total']['value']
mitre_coverage = len(result['aggregations']['by_mitre']['buckets'])
# 탐지 커버리지와 알림 품질 기반 점수
coverage_score = min(mitre_coverage * 2, 20) # MITRE 커버리지 점수
quality_score = min(total_alerts / 10, 10) # 알림 품질 점수
return coverage_score + quality_score
def calculate_compliance_score(self):
"""컴플라이언스 점수 계산"""
compliance_rules = ['gdpr', 'sox', 'pci', 'hipaa']
total_violations = 0
for rule in compliance_rules:
query = {
"query": {
"bool": {
"must": [
{"match": {"rule.groups": rule}},
{"range": {"rule.level": {"gte": 8}}},
{"range": {"timestamp": {"gte": "now-30d"}}}
]
}
}
}
result = self.es.search(index="wazuh-alerts-*", body=query, size=0)
total_violations += result['hits']['total']['value']
# 위반 사항이 적을수록 높은 점수
if total_violations == 0:
return 20
elif total_violations <= 5:
return 15
elif total_violations <= 15:
return 10
else:
return 5
def calculate_incident_response_score(self):
"""사고 대응 점수 계산"""
# Active Response 실행 횟수 조회
query = {
"query": {
"bool": {
"must": [
{"match": {"rule.groups": "active_response"}},
{"range": {"timestamp": {"gte": "now-30d"}}}
]
}
}
}
result = self.es.search(index="wazuh-alerts-*", body=query, size=0)
response_count = result['hits']['total']['value']
# 적절한 대응 활동 기준 점수
if response_count >= 10:
return 10
elif response_count >= 5:
return 8
elif response_count >= 1:
return 6
else:
return 3
def get_security_grade(self, score):
"""점수를 등급으로 변환"""
if score >= 90:
return 'A+'
elif score >= 80:
return 'A'
elif score >= 70:
return 'B+'
elif score >= 60:
return 'B'
elif score >= 50:
return 'C'
else:
return 'F'
def calculate_mttr(self):
"""평균 해결 시간(MTTR) 계산"""
# 고심각도 알림의 평균 해결 시간 계산
query = {
"query": {
"bool": {
"must": [
{"range": {"rule.level": {"gte": 12}}},
{"range": {"timestamp": {"gte": "now-30d"}}}
]
}
},
"size": 1000
}
result = self.es.search(index="wazuh-alerts-*", body=query)
# 실제 환경에서는 티켓 시스템과 연동하여 해결 시간 추적
# 여기서는 예시로 랜덤한 해결 시간 가정
resolution_times = []
for hit in result['hits']['hits']:
# 가상의 해결 시간 (실제로는 티켓 시스템에서 가져와야 함)
alert_level = hit['_source']['rule']['level']
if alert_level >= 15:
avg_time = 2 # Critical: 2시간
elif alert_level >= 12:
avg_time = 6 # High: 6시간
else:
avg_time = 24 # Medium: 24시간
resolution_times.append(avg_time)
mttr = sum(resolution_times) / len(resolution_times) if resolution_times else 0
return mttr
def calculate_security_debt(self):
"""보안 기술 부채 계산"""
# 해결되지 않은 취약점 수
unresolved_vulns = self.get_unresolved_vulnerabilities()
# 오래된 알림 (30일 이상)
old_alerts = self.get_old_unresolved_alerts()
# 설정 미준수 항목
misconfigurations = self.get_configuration_issues()
security_debt = {
'unresolved_vulnerabilities': unresolved_vulns,
'old_alerts': old_alerts,
'misconfigurations': misconfigurations,
'total_debt_score': unresolved_vulns * 3 + old_alerts * 2 + misconfigurations * 1
}
return security_debt
def get_unresolved_vulnerabilities(self):
"""해결되지 않은 취약점 수 조회"""
query = {
"query": {
"bool": {
"must": [
{"match": {"rule.groups": "vulnerability"}},
{"terms": {"data.severity.keyword": ["CRITICAL", "HIGH"]}}
]
}
}
}
result = self.es.search(index="wazuh-alerts-*", body=query, size=0)
return result['hits']['total']['value']
def get_old_unresolved_alerts(self):
"""오래된 미해결 알림 수"""
query = {
"query": {
"bool": {
"must": [
{"range": {"rule.level": {"gte": 10}}},
{"range": {"timestamp": {"lte": "now-30d"}}}
]
}
}
}
result = self.es.search(index="wazuh-alerts-*", body=query, size=0)
return result['hits']['total']['value']
def get_configuration_issues(self):
"""설정 문제 수 조회"""
query = {
"query": {
"bool": {
"must": [
{"match": {"rule.groups": "syscheck"}},
{"match": {"rule.description": "configuration"}}
]
}
}
}
result = self.es.search(index="wazuh-alerts-*", body=query, size=0)
return result['hits']['total']['value']
def generate_executive_dashboard(self):
"""경영진 대시보드 데이터 생성"""
posture_score = self.calculate_security_posture_score()
mttr = self.calculate_mttr()
security_debt = self.calculate_security_debt()
dashboard_data = {
'timestamp': datetime.now().isoformat(),
'security_posture': posture_score,
'mttr_hours': mttr,
'security_debt': security_debt,
'key_metrics': {
'total_alerts_30d': self.get_total_alerts_count(),
'critical_alerts_30d': self.get_critical_alerts_count(),
'vulnerability_trend': self.get_vulnerability_trend(),
'compliance_status': self.get_compliance_status()
}
}
return dashboard_data
def get_total_alerts_count(self):
"""총 알림 수 (30일)"""
query = {
"query": {
"range": {"timestamp": {"gte": "now-30d"}}
}
}
result = self.es.search(index="wazuh-alerts-*", body=query, size=0)
return result['hits']['total']['value']
def get_critical_alerts_count(self):
"""심각한 알림 수 (30일)"""
query = {
"query": {
"bool": {
"must": [
{"range": {"rule.level": {"gte": 12}}},
{"range": {"timestamp": {"gte": "now-30d"}}}
]
}
}
}
result = self.es.search(index="wazuh-alerts-*", body=query, size=0)
return result['hits']['total']['value']
def get_vulnerability_trend(self):
"""취약점 트렌드 (주별)"""
query = {
"query": {
"bool": {
"must": [
{"match": {"rule.groups": "vulnerability"}},
{"range": {"timestamp": {"gte": "now-4w"}}}
]
}
},
"aggs": {
"weekly_trend": {
"date_histogram": {
"field": "timestamp",
"calendar_interval": "week"
}
}
}
}
result = self.es.search(index="wazuh-alerts-*", body=query, size=0)
trend_data = []
for bucket in result['aggregations']['weekly_trend']['buckets']:
trend_data.append({
'week': bucket['key_as_string'],
'count': bucket['doc_count']
})
return trend_data
def get_compliance_status(self):
"""컴플라이언스 상태"""
frameworks = ['gdpr', 'sox', 'pci', 'hipaa']
status = {}
for framework in frameworks:
query = {
"query": {
"bool": {
"must": [
{"match": {"rule.groups": framework}},
{"range": {"rule.level": {"gte": 8}}},
{"range": {"timestamp": {"gte": "now-30d"}}}
]
}
}
}
result = self.es.search(index="wazuh-alerts-*", body=query, size=0)
violations = result['hits']['total']['value']
status[framework] = {
'violations': violations,
'status': 'COMPLIANT' if violations == 0 else 'NON_COMPLIANT'
}
return status
def export_dashboard_data(self, dashboard_data, filename=None):
"""대시보드 데이터 내보내기"""
if not filename:
filename = f"security_dashboard_{datetime.now().strftime('%Y%m%d_%H%M%S')}.json"
with open(filename, 'w', encoding='utf-8') as f:
json.dump(dashboard_data, f, indent=2, ensure_ascii=False, default=str)
print(f"대시보드 데이터가 저장되었습니다: {filename}")
return filename
# 메인 실행 함수
def main():
tracker = SecurityMetricsTracker(
elasticsearch_host="localhost:9200",
wazuh_api_url="https://localhost:55000"
)
# 경영진 대시보드 생성
dashboard = tracker.generate_executive_dashboard()
# 결과 출력
print("=== DevSecOps 보안 대시보드 ===")
print(f"보안 자세 점수: {dashboard['security_posture']['total_score']}/100 ({dashboard['security_posture']['grade']})")
print(f"평균 해결 시간: {dashboard['mttr_hours']:.1f}시간")
print(f"보안 기술 부채: {dashboard['security_debt']['total_debt_score']}점")
print(f"총 알림 (30일): {dashboard['key_metrics']['total_alerts_30d']:,}건")
print(f"심각한 알림 (30일): {dashboard['key_metrics']['critical_alerts_30d']:,}건")
# 컴플라이언스 상태 출력
print("\n=== 컴플라이언스 상태 ===")
for framework, status in dashboard['key_metrics']['compliance_status'].items():
print(f"{framework.upper()}: {status['status']} (위반: {status['violations']}건)")
# 대시보드 데이터 저장
tracker.export_dashboard_data(dashboard)
if __name__ == "__main__":
main()Wazuh를 중심으로 한 DevSecOps 및 컨테이너 보안 강화 방안은 현대적인 소프트웨어 개발 환경에서 보안은 더 이상 개발 완료 후의 검증 단계가 아닌, 개발 수명주기 전반에 걸쳐 통합되어야 하는 핵심 요소입니다.
핵심 성과 요약
1. 통합적 보안 플랫폼 구축
- Wazuh를 중심으로 한 XDR/SIEM 플랫폼 구축
- Trivy 등 오픈소스 도구와의 완벽한 통합
- MITRE ATT&CK 프레임워크 기반 위협 분류
2. 자동화된 DevSecOps 워크플로우
- CI/CD 파이프라인 전반의 보안 자동화
- 컨테이너 이미지 보안 스캔 자동화
- Active Response를 통한 즉각적 위협 대응
3. 지능형 위협 탐지 및 헌팅
- 머신러닝 기반 이상 행위 탐지
- 자동화된 위협 헌팅 시스템
- 예측적 보안 분석 및 대응
4. 컴플라이언스 자동화
- GDPR, SOX, PCI 등 규제 요구사항 자동 모니터링
- 실시간 컴플라이언스 상태 추적
- 자동화된 감사 리포트 생성
향후 발전 방향
DevSecOps 및 컨테이너 보안 분야는 지속적으로 진화하고 있으며, 다음과 같은 트렌드를 주목해야 합니다.
1. 제로 트러스트 아키텍처 통합
- 모든 네트워크 트래픽과 사용자 접근에 대한 검증
- 마이크로세그멘테이션 및 최소 권한 원칙 적용
2. 서버리스 및 클라우드 네이티브 보안
- Kubernetes 보안 강화
- 서버리스 함수 보안 모니터링
- 멀티클라우드 환경 보안 관리
3. AI/ML 기반 보안 고도화
- 고급 이상 탐지 알고리즘
- 자동화된 위협 인텔리전스
- 예측적 보안 분석
제시한 방법론과 실제 구현 코드를 통해 조직의 보안 성숙도를 체계적으로 향상시킬 수 있을 것입니다. 중요한 것은 단순히 도구를 도입하는 것이 아니라, 개발팀과 보안팀이 협력하여 보안을 문화로 정착시키는 것입니다. DevSecOps는 여정이지 목적지가 아닙니다. 지속적인 개선과 학습을 통해 끊임없이 진화하는 위협 환경에 효과적으로 대응해 나가시기 바랍니다.
728x90
그리드형(광고전용)
댓글