Osquery12 MongoDB와 Redis 활용한 보안 오픈소스 도구 및 차이점 MongoDB와 Redis는 현대 애플리케이션 개발에서 자주 사용되는 대표적인 NoSQL 데이터베이스입니다. 두 시스템은 각기 다른 특성과 사용 목적을 가지고 있으며, 이를 이해하면 프로젝트의 요구 사항에 맞는 최적의 데이터베이스를 선택할 수 있습니다. 또한, MongoDB는 다양한 오픈소스 도구와 연동하여 보안 및 데이터 관리를 강화할 수 있습니다. MongoDB와 Redis의 주요 차이점, MongoDB의 활용 사례, 그리고 MongoDB와 연동 가능한 보안 오픈소스 도구입니다.1. MongoDB와 Redis의 비교1.1 MongoDB데이터 모델: MongoDB는 문서 지향(Document-Oriented) 데이터베이스로, 데이터를 JSON과 유사한 BSON(Binary JSON) 형식으로 저장합니다.. 2024. 12. 9. Linux EDR (Endpoint Detection and Response) 솔루션 주요기능과 활용 기법 EDR(Endpoint Detection and Response)을 활용하여 리눅스 환경에서의 방어 회피 공격 탐지 및 위협 분석을 효과적으로 수행하는 방법입니다. 이 과정에서는 EDR 솔루션의 핵심 기능과 리눅스 환경에서의 방어 회피 기법, 그리고 이를 탐지하기 위한 전략입니다.1. EDR의 핵심 기능EDR 솔루션은 다음과 같은 기능을 통해 리눅스 시스템의 보안을 강화합니다:실시간 모니터링: EDR은 실시간으로 시스템에서 발생하는 모든 활동을 모니터링하여 이상 징후를 탐지합니다.행동 기반 탐지: 서명 기반 탐지 외에도, 비정상적인 행동을 통해 잠재적 위협을 탐지합니다.위협 인텔리전스 통합: 최신 위협 정보를 바탕으로 새로운 공격 벡터를 탐지합니다.사고 대응 자동화: 탐지된 위협에 대해 자동화된 대응 절.. 2024. 12. 1. Snipe-IT, SecureCodeBox, Wazuh 통합하여 서버 및 웹 취약점 관리 방안 Snipe-IT, SecureCodeBox, 그리고 Wazuh를 통합하여 서버와 웹사이트 단위의 취약점 점검, 결과 대시보드 구성, 그리고 자산 관리 방안을 구축하는 방법입니다. 이 통합 솔루션을 통해 조직의 보안 상태를 체계적으로 운영하고, 실시간 모니터링과 자동화된 취약점 관리를 구현할 수 있습니다.환경 구축Snipe-IT 설정SecureCodeBox 설정 및 활용Wazuh 설정 및 통합통합 관리 및 운영Wazuh에서 SecureCodeBox 스캔 결과 통합보안 설정 준수 여부 체크 스크립트 통합항목별 결과 식별 및 관리SCA 모듈을 통한 커스텀 스크립트 통합FIM(File Integrity Monitoring) 소개Wazuh를 통한 iptables 룰셋 수집Wazuh에서 Osquery 활용리스닝 포.. 2024. 11. 27. 자동화된 파일 추출 및 보안 대응을 위한 Osquery 시스템 구축 Osquery는 Facebook에서 개발한 오픈 소스 도구로, SQL 기반의 쿼리를 통해 시스템의 상태와 활동을 모니터링할 수 있습니다. 시스템 관리 및 보안 분야에서 널리 사용되며, 크로스 플랫폼을 지원하여 다양한 운영 체제에서 활용할 수 있습니다. Osquery File Carve Server 프로젝트는 Osquery의 파일 카빙(carving) 기능을 활용하여 원격 시스템에서 파일을 추출하고, 이를 중앙 서버로 전송하여 저장 및 관리하는 시스템입니다. 이 프로젝트는 Golang, Docker, MongoDB, NGINX 등의 기술 스택을 사용하여 구축되며, 조직 내 보안 및 관리 업무를 효율화하는 데 기여합니다.주요 기술Golang: 서버 애플리케이션 개발 언어Docker & Docker Compo.. 2024. 11. 1. Vi 에디터 스왑파일(swp) 생성 시 공격자 악용 탐지 및 해결 방법 공격자가 스왑 파일을 악용하여 크레딧 카드 정보를 훔치는 사례에서 보안 대응 측면입니다. 이런 유형의 공격에 효과적으로 대응하기 위해 몇 가지 주요 단계와 권장 사항을 설명합니다.1. 공격 벡터 이해공격자는 서버의 스왑 파일을 이용하여 맬웨어를 은닉하고, 일반적인 파일 탐지 방법을 회피할 수 있습니다. 스왑 파일은 보통 편집 도중 발생하는 충돌을 방지하기 위해 생성되며, 이 파일을 통해 악성 코드를 삽입하여 서버에 남겨둘 수 있습니다.2. 탐지 및 분석파일 시스템 스캔: 정기적으로 파일 시스템을 스캔하여 의심스러운 스왑 파일을 식별합니다. find 명령어를 활용하여 스왑 파일을 찾을 수 있습니다.find / -type f -name "*-swapme"파일 무결성 검사: osquery와 같은 도구를 사용하.. 2024. 9. 19. 이전 1 2 3 다음 728x90
