Elasticsearch34 728x90 Sigma 기반 Linux 환경 보안 위협 탐지 룰셋 작성 및 수행 가이드 Sigma 개요 및 배경Sigma는 SIEM 시스템 간에 범용적으로 활용 가능한 탐지 규칙 형식으로, YAML 형식으로 구성되어 있으며 다양한 탐지 조건을 명확히 정의할 수 있는 장점이 있습니다. Sigma 규칙을 sigmac을 활용하여 Elasticsearch, osquery, Wazuh 등 다양한 형태로 변환할 수 있습니다.탐지 시나리오: SSH Key 파일 무단 접근 및 변경 탐지리눅스 환경에서 공격자가 SSH 키 파일을 무단으로 접근하거나 변경하여 접근 권한을 획득하려는 시도를 탐지합니다.Sigma YAML 규칙 작성 예시title: Unauthorized SSH Key Access or Modificationid: 87654321-abcd-1234-abcd-87654321abcdlogsource.. 2025. 3. 20. Logstash 설치 및 기본 이벤트 Stashing 테스트 가이드 Ubuntu 기반에서 Logstash를 설치하고 간단한 파이프라인을 테스트하고, Filebeat를 통해 로그를 수집하여 Logstash에서 파싱한 후 Elasticsearch로 전송합니다. Logstash의 기본 설정부터 Filebeat와 연계하여 로그를 처리하고 Elasticsearch 및 Kibana에서 데이터를 확인하는 방법입니다.1. Logstash 설치Ubuntu에서 Logstash를 설치하는 단계입니다. 다음 명령어를 실행하여 Logstash를 설치합니다.1.1 Elasticsearch GPG 키 추가Elasticsearch 패키지를 안전하게 설치하기 위해 GPG 키를 추가합니다.curl -fsSL https://artifacts.elastic.co/GPG-KEY-elasticsearch | .. 2025. 2. 25. Elasticsearch에서 Agent 수집된 로그의 유형별 집계 및 관리 방법 Elastic Agent로 수집된 로그 데이터를 Elasticsearch에서 유형별로 집계하고, 최근 30일 간의 일별 카운트를 집계하는 과정을 단계별로 설명합니다. 아래에 제시된 명령어와 옵션은 Kibana의 Dev Tools에서 사용할 수 있습니다.1단계: 데이터 구조 확인Elasticsearch에 저장된 로그 데이터의 필드 구조를 확인해야 합니다.Elastic Agent가 수집한 로그에는 일반적으로 log.type 또는 event.dataset과 같은 필드가 사용됩니다.@timestamp 필드는 로그의 시간 정보를 나타냅니다.샘플 쿼리GET /your-index-pattern-*/_mapping위 명령어를 실행하면 인덱스의 매핑 정보가 반환됩니다. 여기에서 사용할 필드 이름(log.type 또는 e.. 2025. 1. 28. Elasticsearch 8.5.3 → 8.15.3 롤링 업그레이드 체크리스트 및 단계별 절차 Elasticsearch 클러스터를 8.5.3에서 8.15.3으로 업그레이드하는 체크리스트 및 단계별 절차입니다. 업그레이드는 클러스터의 가용성을 유지하며, 서비스 중단 없이 진행할 수 있도록 롤링 업그레이드 방식을 사용합니다. 각 단계는 사전 준비, 업그레이드 작업, 이후 정상 확인으로 구성됩니다.1. 업그레이드 전 기본 체크1.1 클러스터 상태 및 사전 체크클러스터 상태 확인: green 상태인지 확인합니다. 클러스터 상태가 yellow 또는 red일 경우 업그레이드를 진행하기 전 문제를 해결해야 합니다.curl -X GET "localhost:9200/_cluster/health?pretty"백업 수행: 예상치 못한 데이터 손실을 방지하기 위해 모든 데이터의 스냅샷을 생성합니다.curl -X PUT.. 2025. 1. 6. Elasticsearch 대량 데이터 효과적 운영을 위한 핫 & 콜드 데이터 관리 Elasticsearch 방대한 양의 데이터를 효과적으로 운영하기 위한 핫 데이터와 콜드 데이터 관리 방식운영 환경에서 대량의 로그 데이터를 수집하고 관리할 때, 성능 최적화와 비용 효율성을 위해 데이터를 핫 데이터(자주 조회되는 최신 데이터)와 콜드 데이터(빈도 낮은 오래된 데이터)로 분류하여 관리하는 전략을 사용할 수 있습니다.핫 데이터와 콜드 데이터 분류 전략핫 데이터(Hot Data)정의: 최근 수집된 데이터로, 조회 빈도가 높고 빠른 검색 성능이 필요한 데이터입니다.저장 위치: Elasticsearch의 빠른 검색 인덱스에 저장합니다.관리: 주로 Elasticsearch의 기본 노드에 저장되며, 고성능 디스크를 사용합니다.콜드 데이터(Cold Data)정의: 일정 기간이 지난 후 접근 빈도가 낮.. 2024. 11. 5. 이전 1 2 3 4 ··· 7 다음 728x90 728x90
