본문 바로가기

Kibana8

보안 이벤트 통합 및 보안 사고 대응 플랫폼 TheHive 구성 TheHive는 오픈 소스 보안 사고 대응 플랫폼으로, 이벤트를 통합하고 조직화하여 보안 팀이 보다 효과적으로 대응할 수 있도록 도와줍니다. 리눅스 시스템에서 보안 이벤트를 TheHive로 수집하는 데에는 몇 가지 단계가 포함됩니다. 이를 위해 Elasticsearch와 같은 백엔드 저장소도 사용될 수 있습니다. 아래는 이 과정을 자세히 설명한 것입니다. TheHive 설치 및 설정 TheHive를 설치하고 구성합니다. TheHive는 자체적으로 또는 Docker를 사용하여 설치할 수 있습니다. 필요한 패키지와 구성 파일을 설치하고 설정합니다. Cortex 설치 (옵션) Cortex는 TheHive와 통합되어 자동화된 보안 작업을 지원합니다. Cortex를 설치하고 구성하여 TheHive와의 통합을 활성.. 2024. 2. 8.
Kubernetes 환경에 Elasticsearch, Kibana 및 기타 Elastic 제품 구성 Elasticsearch, Kibana 및 기타 Elastic 제품을 관리하기 위한 Elastic Cloud on Kubernetes (ECK)를 설치하는 과정을 안내합니다. 아래는 주요 단계들을 정리한 것입니다. 전제 조건 Kubernetes 클러스터가 이미 실행 중이어야 합니다. ECK 설치 전에 지원되는 버전을 확인하세요. GKE를 사용하는 경우 사용자가 cluster-admin 권한을 가지고 있어야 합니다. Amazon EKS를 사용하는 경우 Kubernetes 제어 평면이 포트 443에서 Kubernetes 노드와 통신할 수 있도록 허용되어야 합니다. Custom Resource Definitions(CRDs) 설치:Elastic 관련 CRDs가 생성됩니다. kubectl create -f ht.. 2023. 12. 2.
Kibana UI를 subpath(/kibana) URL로 서비스 구성 하나의 도메인에서 여러가지 서비스를 운영하거나 복수의 Kibana 서비스를 운영하기 위해서, Kibana를 GCE Ingress 뒤에 서브패스인 "/kibana"로 노출하기 위해서는 몇 가지 구성이 필요합니다. Kibana 설정 변경 Kibana의 kibana.yml 파일을 열어서 다음을 수정해야 합니다. server: basePath: "/kibana" rewriteBasePath: true publicBaseUrl: "https://elastic.stack/kibana" 이 설정은 Kibana에게 서브패스 "/kibana"를 사용하고 있다는 것을 알려줍니다. Readiness Probe 업데이트 Kibana Pod 템플릿에서 readiness probe를 "/kibana/login" 경로로 업데이트해.. 2023. 12. 1.
Docker 환경 Container를 Kubernetes 환경으로 이전하는 과정 간단한 Flask 어플리케이션을 Docker에서 Kubernetes로 이전하는 과정을 정리했습니다. 도커 이미지 수정 기존 Dockerfile에서 필요한 라이브러리 및 환경 설정을 추가하거나 수정한다. FROM python:3.8 WORKDIR /app COPY requirements.txt . RUN pip install --no-cache-dir -r requirements.txt COPY . . CMD ["python", "app.py"] Kubernetes 매니페스트 파일 작성 deployment.yaml 및 service.yaml 파일을 작성한다. # deployment.yaml apiVersion: apps/v1 kind: Deployment metadata: name: flask-app sp.. 2023. 11. 29.
ModSecurity 로그 Elasticsearch 수집하고 Kibana 통한 분석 ModSecurity 로그를 Elasticsearch에 저장하고 Kibana를 사용하여 검색 및 보고서를 생성하는 방법에 대한 요구 사항은 다음과 같습니다. ModSecurity 버전 3 및 Nginx 사용 "Audit Log" 구성 ModSecurity 로그를 Elasticsearch로 전송하는 Python 스크립트 사용 이 설정은 ModSecurity 2.9 및 Apache가 아닌 Nginx 및 Libmodsecurity (또는 ModSecurity v3)를 기반으로 합니다. Audit Log 구성 및 Python 스크립트를 사용하여 ModSecurity 로그를 Elasticsearch로 전송하는 방법을 보여줍니다. 이후 Kibana를 사용하여 검색 및 보고서 생성이 가능합니다. Nginx 설정 모든.. 2023. 11. 27.