운영체제 (LNX,WIN)687 Wazuh 활용한 방화벽 룰셋 모니터링 및 SCA 관리 체계 Wazuh를 사용하여 iptables 룰셋 변경 감지와 Security Configuration Assessment(SCA)를 통합하여 서버의 보안 상태를 점검하고, 변경 사항을 중앙에서 모니터링 및 관리하며, 이상 상태에 대한 알림을 설정하고 대응하는 전체 프로세스 체계로 각 단계별 설정 및 예시입니다.시스템 개요목표iptables 룰셋 변경을 실시간으로 감지하고, 중앙 로그로 수집 및 경고(Alert) 생성.SCA 룰셋을 활용해 주기적으로 시스템 보안 상태를 점검하고, 정책 위반(Failed)을 탐지.모든 이벤트를 중앙에서 관리하고 비정상 상태에 대한 알림과 대응 조치를 수행.구성 요소Wazuh Agent각 서버에서 iptables 및 SCA 데이터를 수집.Wazuh Manager중앙에서 데이터를 분.. 2025. 2. 22. Linux Audit Framework 시스템 모니터링 및 보안 위협 탐지하는 방법 Osquery에서 audit 프레임워크를 활성화하면 기본적으로 audit.rules에서 설정한 규칙 외에도 다양한 이벤트가 자동으로 수집됩니다. 이 중 일부는 Linux auditd와 유사하지만, Osquery는 추가적인 이벤트를 생성할 수 있습니다.1. 기본적으로 수집되는 이벤트Osquery가 Audit 프레임워크를 활용하여 기본적으로 수집하는 이벤트는 다음과 같습니다.1.1. Process Events (프로세스 이벤트)execve (새로운 프로세스 실행)fork 및 clone (프로세스 생성)exit (프로세스 종료)setuid, setgid (권한 변경)1.2. File Events (파일 접근 및 변경)open, openat (파일 열기)unlink, unlinkat (파일 삭제)rename, .. 2025. 2. 12. 파일 무결성 모니터링(FIM)을 Osquery 통해 완벽한 이벤트 탐지 활용 1. File Integrity Monitoring (FIM) 개요File Integrity Monitoring (FIM)은 중요한 파일 및 디렉터리의 변경을 감지하는 보안 메커니즘으로, 시스템 침입 탐지, 무단 수정 감지, 규제 준수 목적 등에 활용됩니다. osquery는 다양한 운영 체제에서 FIM을 지원하며, 각각의 플랫폼에서 다음과 같은 이벤트 수집 방식을 사용합니다.Linuxfile_events (inotify 사용)process_file_events (Audit 사용)Windowsntfs_journal_events (NTFS Journaling 사용)macOSfile_events (FSEvents 사용)2. osquery에서 FIM 활성화기본적으로 FIM 기능은 비활성화되어 있으며, 다음 설정.. 2025. 2. 11. macOS에서 osascript 활용한 보안 위협 및 대응 가이드 osascript는 macOS에서 AppleScript와 JavaScript 코드를 실행할 수 있는 명령줄 도구로, 자동화 및 시스템 제어 목적으로 사용됩니다. 그러나, 공격자들이 이 도구를 악용하여 시스템 제어 및 악성 행위를 수행하기도 해 주의 깊은 모니터링이 필요합니다.osascript 개요기본 정보: osascript는 macOS 내에서 AppleScript와 JavaScript 명령을 실행하는 CLI(Command Line Interface) 도구입니다. osascript는 일반적으로 애플리케이션 자동화, 시스템 제어 및 스크립팅에 사용됩니다.악용 가능성: 공격자는 osascript를 통해 AppleScript를 실행하여 시스템 파일 접근, 키 입력 시뮬레이션, 애플리케이션 제어, 악성 다운로드.. 2025. 2. 4. Linux 부팅 속도 지연 문제 원인 분석 점검 및 최적화 해결 방법 Ubuntu 부팅 시 로고 화면에서 로그인 창이 나타나기까지 시간이 오래 걸리는 문제는 여러 가지 원인으로 인해 발생할 수 있습니다. 일반적으로 이러한 문제는 특정 서비스나 하드웨어 장치가 부팅 과정에서 지연을 일으키는 경우에 발생합니다. 문제를 해결하려면 부팅 로그와 서비스를 확인하여 어떤 부분에서 지연이 발생하는지 조사할 필요가 있습니다.1. 부팅 로그 확인부팅 시 어떤 서비스나 장치가 지연을 일으키는지 확인하기 위해 부팅 로그를 확인할 수 있습니다.journalctl -b이 명령어는 현재 부팅 과정에서 발생한 모든 로그를 보여줍니다. 로그에서 [FAILED] 또는 [DELAYED] 같은 메시지를 찾아볼 수 있습니다. 특정 서비스가 부팅을 지연시키는 경우에는 그 서비스의 로그를 더 자세히 조사할 수 .. 2025. 1. 17. 이전 1 2 3 4 ··· 138 다음 728x90
