보안관제(SOC) 운영 Threat Hunting & Incident Response with XDR/EDR/SIEM/SOAR
보안 관제(Security Operations Center, SOC)는 침해 탐지(Detection), 위협 분석(Threat Analysis), 사고 대응(Incident Response, IR) 등을 수행하는 조직으로, SIEM(Security Information and Event Management), EDR(Endpoint Detection and Response), SOAR(Security Orchestration, Automation and Response) 등의 도구를 활용하여 보안 이벤트를 관리한다. 조직의 규모, 운영 방식(내부 SOC, 외부 위탁 관제, MSSP 등)에 따라 SOC의 구조는 다를 수 있지만, 일반적으로 SOC는 다층적 역할 체계(L1, L2, L3) 로 구성된다.1. ..
2025. 3. 18.
Docker 및 Kubernetes API 서비스 보안 점검 및 보호 조치
Docker 및 Kubernetes API는 컨테이너 및 클러스터를 관리하는 핵심 요소이며, 잘못된 설정이나 보안 조치 부족으로 인해 해커의 표적이 될 수 있습니다. Docker API 탐지, 분석, 보안 점검 및 개선 방안이며, 이를 위해 Masscan, ZGrab, Nmap 등의 도구를 활용하여 탐지하고 분석한 뒤, 보안 수준을 점검하는 과정입니다.Docker API 탐지Masscan을 사용해 네트워크에서 Docker API(2375, 2376 포트)가 열려 있는 시스템을 탐지하는 것이 첫 단계입니다.Masscan 사용 예시masscan -p2375,2376 192.168.1.0/24 --rate=1000-p2375,2376: Docker API가 실행될 가능성이 있는 포트인 2375(비암호화)와 2..
2025. 2. 26.
