MISP4 Wazuh(OSSEC) 운영에 대한 상세 설명 및 운영 예시 1. Endpoint Detection and Response (EDR)Endpoint Detection and Response(EDR)은 위협이나 보안 침해를 나타낼 수 있는 활동을 모니터링하는 도구와 애플리케이션의 집합입니다. EDR 도구와 애플리케이션의 주요 기능은 다음과 같습니다.일반 취약점 점검: 기기에 대한 감사 수행프로액티브 모니터링: 무단 로그인, 브루트 포스 공격, 권한 상승과 같은 의심스러운 활동 모니터링데이터 시각화: 복잡한 데이터와 이벤트를 깔끔한 그래프로 시각화정상 운영 행동 기록: 이상 탐지에 도움2. Wazuh 개요Wazuh는 2015년에 만들어진 오픈 소스, 무료 EDR 솔루션입니다. 다양한 보안 기능을 제공하며, 특히 다음과 같은 기능을 갖추고 있습니다.실시간 보안 정보와 .. 2024. 8. 6. SOC 구축: TheHive, Cortex 및 MISP 설치 TheHive와 Cortex를 연동하여 SOC(Security Operations Center) 운영을 계획하신다면, 기본적으로 Elasticsearch를 포함한 몇 가지 주요 구성 요소가 필요합니다. TheHive와 Cortex는 특히 사건(response)을 관리하고, 위협을 분석하며, 자동화된 대응을 지원하기 위해 설계된 도구들입니다. Elasticsearch는 이러한 도구들이 데이터를 저장하고 검색하는 데 필수적인 역할을 합니다. 다음은 TheHive와 Cortex 연동 및 SOC 운영을 위한 기본적인 구성 요소들입니다.Elasticsearch: TheHive와 Cortex 모두 Elasticsearch를 데이터 저장소로 사용합니다. 이는 빠른 검색과 데이터 분석을 위해 필수적입니다.설치 및 설정.. 2024. 7. 27. 조직 내부에 TI(Threat Intelligence) 환경 구축 및 운영으로 보안수준 향상 TI (Threat Intelligence) 환경을 내부에서 구축하고 운영하는 것은 조직의 보안 수준을 향상시키는 데 큰 도움이 될 수 있습니다. 여기에는 몇 가지 일반적이고 표준적인 방법들이 있습니다.TI 플랫폼 선정: 먼저, 조직에 맞는 TI 플랫폼을 선정해야 합니다. 시중에는 MISP (Malware Information Sharing Platform), ThreatConnect, Anomali ThreatStream 등 다양한 TI 플랫폼이 있습니다. 각 플랫폼의 기능, 비용, 호환성 등을 고려하여 선택하세요.데이터 수집: TI 환경의 핵심은 다양한 출처에서 정보를 수집하는 것입니다. 이는 공개 소스(OSINT), 사이버 범죄 포럼, 다크웹, 정부 보고서, 상업적 피드 등을 포함할 수 있습니다. .. 2024. 7. 4. Cortex XSOAR 보안 인프라 자동화로 SIEM 보완 SOC 효율성 향상 TheHive는 오픈 소스 보안 인시던트 응답 플랫폼으로, 보안 팀이 사이버 공격 및 보안 이슈에 대응하는 데 도움을 주는 도구입니다. TheHive는 이벤트 및 알림 관리, 조사, 대화 및 협력을 위한 다양한 기능을 제공합니다. Cortex는 또 다른 오픈 소스 도구로, TheHive와 통합하여 사용할 수 있습니다. Cortex는 다양한 보안 인텔리전스 및 분석 도구를 통합하고, 자동화된 보안 작업을 지원하는 플랫폼입니다. 이것은 보안 분석가 및 대응자들이 사이버 공격에 대응하는 데 필요한 정보를 수집하고 분석하는 데 도움이 됩니다. Cortex는 다양한 서비스를 제공하며, 예를 들어 다음과 같은 기능을 수행할 수 있습니다.검색 및 인텔리전스 통합: 다양한 보안 인텔리전스 소스에서 정보를 검색하고 수집.. 2024. 1. 4. 이전 1 다음 728x90
