운영체제 (LNX,WIN)697 728x90 Linux Audit Framework 시스템 모니터링 및 보안 위협 탐지하는 방법 Osquery에서 audit 프레임워크를 활성화하면 기본적으로 audit.rules에서 설정한 규칙 외에도 다양한 이벤트가 자동으로 수집됩니다. 이 중 일부는 Linux auditd와 유사하지만, Osquery는 추가적인 이벤트를 생성할 수 있습니다.1. 기본적으로 수집되는 이벤트Osquery가 Audit 프레임워크를 활용하여 기본적으로 수집하는 이벤트는 다음과 같습니다.1.1. Process Events (프로세스 이벤트)execve (새로운 프로세스 실행)fork 및 clone (프로세스 생성)exit (프로세스 종료)setuid, setgid (권한 변경)1.2. File Events (파일 접근 및 변경)open, openat (파일 열기)unlink, unlinkat (파일 삭제)rename, .. 2025. 2. 12. 파일 무결성 모니터링(FIM)을 Osquery 통해 완벽한 이벤트 탐지 활용 1. File Integrity Monitoring (FIM) 개요File Integrity Monitoring (FIM)은 중요한 파일 및 디렉터리의 변경을 감지하는 보안 메커니즘으로, 시스템 침입 탐지, 무단 수정 감지, 규제 준수 목적 등에 활용됩니다. osquery는 다양한 운영 체제에서 FIM을 지원하며, 각각의 플랫폼에서 다음과 같은 이벤트 수집 방식을 사용합니다.Linuxfile_events (inotify 사용)process_file_events (Audit 사용)Windowsntfs_journal_events (NTFS Journaling 사용)macOSfile_events (FSEvents 사용)2. osquery에서 FIM 활성화기본적으로 FIM 기능은 비활성화되어 있으며, 다음 설정.. 2025. 2. 11. macOS에서 osascript 활용한 보안 위협 및 대응 가이드 osascript는 macOS에서 AppleScript와 JavaScript 코드를 실행할 수 있는 명령줄 도구로, 자동화 및 시스템 제어 목적으로 사용됩니다. 그러나, 공격자들이 이 도구를 악용하여 시스템 제어 및 악성 행위를 수행하기도 해 주의 깊은 모니터링이 필요합니다.osascript 개요기본 정보: osascript는 macOS 내에서 AppleScript와 JavaScript 명령을 실행하는 CLI(Command Line Interface) 도구입니다. osascript는 일반적으로 애플리케이션 자동화, 시스템 제어 및 스크립팅에 사용됩니다.악용 가능성: 공격자는 osascript를 통해 AppleScript를 실행하여 시스템 파일 접근, 키 입력 시뮬레이션, 애플리케이션 제어, 악성 다운로드.. 2025. 2. 4. Linux 부팅 속도 지연 문제 원인 분석 점검 및 최적화 해결 방법 Ubuntu 부팅 시 로고 화면에서 로그인 창이 나타나기까지 시간이 오래 걸리는 문제는 여러 가지 원인으로 인해 발생할 수 있습니다. 일반적으로 이러한 문제는 특정 서비스나 하드웨어 장치가 부팅 과정에서 지연을 일으키는 경우에 발생합니다. 문제를 해결하려면 부팅 로그와 서비스를 확인하여 어떤 부분에서 지연이 발생하는지 조사할 필요가 있습니다.1. 부팅 로그 확인부팅 시 어떤 서비스나 장치가 지연을 일으키는지 확인하기 위해 부팅 로그를 확인할 수 있습니다.journalctl -b이 명령어는 현재 부팅 과정에서 발생한 모든 로그를 보여줍니다. 로그에서 [FAILED] 또는 [DELAYED] 같은 메시지를 찾아볼 수 있습니다. 특정 서비스가 부팅을 지연시키는 경우에는 그 서비스의 로그를 더 자세히 조사할 수 .. 2025. 1. 17. 서비스 최적화 위한 리소스 모니터링 꿀팁: 실시간 대시보드 만들기 systemctl 자체는 서비스의 상태를 확인하는 데 사용되지만, 구체적인 CPU 및 메모리 사용량을 확인하기 위한 기능은 포함되어 있지 않습니다. 이를 확인하려면 systemctl로 실행 중인 서비스의 PID(Process ID)를 확인한 후, 해당 프로세스의 상태를 top, ps, 또는 systemd-cgtop 등을 이용해 확인할 수 있습니다.1. systemctl로 PID 확인systemctl을 통해 구동 중인 서비스의 PID를 확인해야 합니다.systemctl show --property=MainPID예를 들어, nginx 서비스의 PID를 확인하려면 다음과 같이 입력합니다.systemctl show nginx --property=MainPID2. top 명령어를 사용하여 CPU/메모리 사용량 .. 2025. 1. 7. 이전 1 2 3 4 5 6 ··· 140 다음 728x90 728x90