운영체제 (LNX,WIN)688 728x90 Osquery Augeas 렌즈 활용 시스템 설정을 SQL 쿼리로 조회 분석 자동화 Osquery는 다양한 시스템 정보를 SQL 형태로 조회할 수 있도록 지원하는 오픈소스 도구입니다. 그중 Augeas를 활용하여 시스템 설정 파일을 구조화된 데이터로 변환하고 SQL 쿼리로 조회할 수 있습니다.Augeas란?Augeas는 Linux 및 Unix 시스템의 구성 파일을 파싱, 수정, 검증하는 라이브러리입니다. 시스템의 다양한 설정 파일을 구조화된 데이터 형태로 변환하고, 이를 안전하게 수정할 수 있도록 지원합니다.1. Osquery에서 Augeas는 기본 활성화인가?Osquery는 기본적으로 내장된 Augeas 렌즈를 사용하여 주요 설정 파일을 파싱할 수 있습니다. 하지만, /usr/share/osquery/lenses/ 폴더에 있는 렌즈 파일들은 자동으로 로드되지 않으며, 필요할 경우 설정.. 2025. 3. 5. Wazuh 활용한 방화벽 룰셋 모니터링 및 SCA 관리 체계 Wazuh를 사용하여 iptables 룰셋 변경 감지와 Security Configuration Assessment(SCA)를 통합하여 서버의 보안 상태를 점검하고, 변경 사항을 중앙에서 모니터링 및 관리하며, 이상 상태에 대한 알림을 설정하고 대응하는 전체 프로세스 체계로 각 단계별 설정 및 예시입니다.시스템 개요목표iptables 룰셋 변경을 실시간으로 감지하고, 중앙 로그로 수집 및 경고(Alert) 생성.SCA 룰셋을 활용해 주기적으로 시스템 보안 상태를 점검하고, 정책 위반(Failed)을 탐지.모든 이벤트를 중앙에서 관리하고 비정상 상태에 대한 알림과 대응 조치를 수행.구성 요소Wazuh Agent각 서버에서 iptables 및 SCA 데이터를 수집.Wazuh Manager중앙에서 데이터를 분.. 2025. 2. 22. Linux Audit Framework 시스템 모니터링 및 보안 위협 탐지하는 방법 Osquery에서 audit 프레임워크를 활성화하면 기본적으로 audit.rules에서 설정한 규칙 외에도 다양한 이벤트가 자동으로 수집됩니다. 이 중 일부는 Linux auditd와 유사하지만, Osquery는 추가적인 이벤트를 생성할 수 있습니다.1. 기본적으로 수집되는 이벤트Osquery가 Audit 프레임워크를 활용하여 기본적으로 수집하는 이벤트는 다음과 같습니다.1.1. Process Events (프로세스 이벤트)execve (새로운 프로세스 실행)fork 및 clone (프로세스 생성)exit (프로세스 종료)setuid, setgid (권한 변경)1.2. File Events (파일 접근 및 변경)open, openat (파일 열기)unlink, unlinkat (파일 삭제)rename, .. 2025. 2. 12. 파일 무결성 모니터링(FIM)을 Osquery 통해 완벽한 이벤트 탐지 활용 1. File Integrity Monitoring (FIM) 개요File Integrity Monitoring (FIM)은 중요한 파일 및 디렉터리의 변경을 감지하는 보안 메커니즘으로, 시스템 침입 탐지, 무단 수정 감지, 규제 준수 목적 등에 활용됩니다. osquery는 다양한 운영 체제에서 FIM을 지원하며, 각각의 플랫폼에서 다음과 같은 이벤트 수집 방식을 사용합니다.Linuxfile_events (inotify 사용)process_file_events (Audit 사용)Windowsntfs_journal_events (NTFS Journaling 사용)macOSfile_events (FSEvents 사용)2. osquery에서 FIM 활성화기본적으로 FIM 기능은 비활성화되어 있으며, 다음 설정.. 2025. 2. 11. macOS에서 osascript 활용한 보안 위협 및 대응 가이드 osascript는 macOS에서 AppleScript와 JavaScript 코드를 실행할 수 있는 명령줄 도구로, 자동화 및 시스템 제어 목적으로 사용됩니다. 그러나, 공격자들이 이 도구를 악용하여 시스템 제어 및 악성 행위를 수행하기도 해 주의 깊은 모니터링이 필요합니다.osascript 개요기본 정보: osascript는 macOS 내에서 AppleScript와 JavaScript 명령을 실행하는 CLI(Command Line Interface) 도구입니다. osascript는 일반적으로 애플리케이션 자동화, 시스템 제어 및 스크립팅에 사용됩니다.악용 가능성: 공격자는 osascript를 통해 AppleScript를 실행하여 시스템 파일 접근, 키 입력 시뮬레이션, 애플리케이션 제어, 악성 다운로드.. 2025. 2. 4. 이전 1 2 3 4 ··· 138 다음 728x90 728x90
