본문 바로가기

Elasticsearch35

728x90
ElastiFlow로 NetFlow/sFlow/IPFIX 기반 트래픽 분석과 보안 모니터링 🔍 ElastiFlow로 네트워크 트래픽을 한눈에!NetFlow, sFlow, IPFIX 기반 트래픽 모니터링과 보안 분석 ElastiFlow는 NetFlow, sFlow, IPFIX 등의 네트워크 흐름 데이터를 수집, 분석, 시각화할 수 있도록 해주는 오픈소스 네트워크 트래픽 분석 플랫폼으로, 보안 이상 탐지, 트래픽 분석, 네트워크 최적화 등 다양한 목적이며, 주로 Elastic Stack (Elasticsearch, Logstash, Kibana, Filebeat)을 기반으로 네트워크 트래픽 모니터링을 수행하며, 네트워크 보안 분석, 성능 모니터링 및 이상 탐지 등에 활용됩니다.주요 기능ElastiFlow는 주로 Elastic Stack을 활용하여 구성됩니다.다양한 프로토콜 지원NetFlow v5.. 2025. 4. 22.
Sigma 기반 Linux 환경 보안 위협 탐지 룰셋 작성 및 수행 가이드 Sigma 개요 및 배경Sigma는 SIEM 시스템 간에 범용적으로 활용 가능한 탐지 규칙 형식으로, YAML 형식으로 구성되어 있으며 다양한 탐지 조건을 명확히 정의할 수 있는 장점이 있습니다. Sigma 규칙을 sigmac을 활용하여 Elasticsearch, osquery, Wazuh 등 다양한 형태로 변환할 수 있습니다.탐지 시나리오: SSH Key 파일 무단 접근 및 변경 탐지리눅스 환경에서 공격자가 SSH 키 파일을 무단으로 접근하거나 변경하여 접근 권한을 획득하려는 시도를 탐지합니다.Sigma YAML 규칙 작성 예시title: Unauthorized SSH Key Access or Modificationid: 87654321-abcd-1234-abcd-87654321abcdlogsource.. 2025. 3. 20.
Logstash 설치 및 기본 이벤트 Stashing 테스트 가이드 Ubuntu 기반에서 Logstash를 설치하고 간단한 파이프라인을 테스트하고, Filebeat를 통해 로그를 수집하여 Logstash에서 파싱한 후 Elasticsearch로 전송합니다. Logstash의 기본 설정부터 Filebeat와 연계하여 로그를 처리하고 Elasticsearch 및 Kibana에서 데이터를 확인하는 방법입니다.1. Logstash 설치Ubuntu에서 Logstash를 설치하는 단계입니다. 다음 명령어를 실행하여 Logstash를 설치합니다.1.1 Elasticsearch GPG 키 추가Elasticsearch 패키지를 안전하게 설치하기 위해 GPG 키를 추가합니다.curl -fsSL https://artifacts.elastic.co/GPG-KEY-elasticsearch | .. 2025. 2. 25.
Elasticsearch에서 Agent 수집된 로그의 유형별 집계 및 관리 방법 Elastic Agent로 수집된 로그 데이터를 Elasticsearch에서 유형별로 집계하고, 최근 30일 간의 일별 카운트를 집계하는 과정을 단계별로 설명합니다. 아래에 제시된 명령어와 옵션은 Kibana의 Dev Tools에서 사용할 수 있습니다.1단계: 데이터 구조 확인Elasticsearch에 저장된 로그 데이터의 필드 구조를 확인해야 합니다.Elastic Agent가 수집한 로그에는 일반적으로 log.type 또는 event.dataset과 같은 필드가 사용됩니다.@timestamp 필드는 로그의 시간 정보를 나타냅니다.샘플 쿼리GET /your-index-pattern-*/_mapping위 명령어를 실행하면 인덱스의 매핑 정보가 반환됩니다. 여기에서 사용할 필드 이름(log.type 또는 e.. 2025. 1. 28.
Elasticsearch 8.5.3 → 8.15.3 롤링 업그레이드 체크리스트 및 단계별 절차 Elasticsearch 클러스터를 8.5.3에서 8.15.3으로 업그레이드하는 체크리스트 및 단계별 절차입니다. 업그레이드는 클러스터의 가용성을 유지하며, 서비스 중단 없이 진행할 수 있도록 롤링 업그레이드 방식을 사용합니다. 각 단계는 사전 준비, 업그레이드 작업, 이후 정상 확인으로 구성됩니다.1. 업그레이드 전 기본 체크1.1 클러스터 상태 및 사전 체크클러스터 상태 확인: green 상태인지 확인합니다. 클러스터 상태가 yellow 또는 red일 경우 업그레이드를 진행하기 전 문제를 해결해야 합니다.curl -X GET "localhost:9200/_cluster/health?pretty"백업 수행: 예상치 못한 데이터 손실을 방지하기 위해 모든 데이터의 스냅샷을 생성합니다.curl -X PUT.. 2025. 1. 6.
728x90
728x90