Osquery16 728x90 Sigma 기반 Linux 환경 보안 위협 탐지 룰셋 작성 및 수행 가이드 Sigma 개요 및 배경Sigma는 SIEM 시스템 간에 범용적으로 활용 가능한 탐지 규칙 형식으로, YAML 형식으로 구성되어 있으며 다양한 탐지 조건을 명확히 정의할 수 있는 장점이 있습니다. Sigma 규칙을 sigmac을 활용하여 Elasticsearch, osquery, Wazuh 등 다양한 형태로 변환할 수 있습니다.탐지 시나리오: SSH Key 파일 무단 접근 및 변경 탐지리눅스 환경에서 공격자가 SSH 키 파일을 무단으로 접근하거나 변경하여 접근 권한을 획득하려는 시도를 탐지합니다.Sigma YAML 규칙 작성 예시title: Unauthorized SSH Key Access or Modificationid: 87654321-abcd-1234-abcd-87654321abcdlogsource.. 2025. 3. 20. Osquery Augeas 렌즈 활용 시스템 설정을 SQL 쿼리로 조회 분석 자동화 Osquery는 다양한 시스템 정보를 SQL 형태로 조회할 수 있도록 지원하는 오픈소스 도구입니다. 그중 Augeas를 활용하여 시스템 설정 파일을 구조화된 데이터로 변환하고 SQL 쿼리로 조회할 수 있습니다.Augeas란?Augeas는 Linux 및 Unix 시스템의 구성 파일을 파싱, 수정, 검증하는 라이브러리입니다. 시스템의 다양한 설정 파일을 구조화된 데이터 형태로 변환하고, 이를 안전하게 수정할 수 있도록 지원합니다.1. Osquery에서 Augeas는 기본 활성화인가?Osquery는 기본적으로 내장된 Augeas 렌즈를 사용하여 주요 설정 파일을 파싱할 수 있습니다. 하지만, /usr/share/osquery/lenses/ 폴더에 있는 렌즈 파일들은 자동으로 로드되지 않으며, 필요할 경우 설정.. 2025. 3. 5. Linux Audit Framework 시스템 모니터링 및 보안 위협 탐지하는 방법 Osquery에서 audit 프레임워크를 활성화하면 기본적으로 audit.rules에서 설정한 규칙 외에도 다양한 이벤트가 자동으로 수집됩니다. 이 중 일부는 Linux auditd와 유사하지만, Osquery는 추가적인 이벤트를 생성할 수 있습니다.1. 기본적으로 수집되는 이벤트Osquery가 Audit 프레임워크를 활용하여 기본적으로 수집하는 이벤트는 다음과 같습니다.1.1. Process Events (프로세스 이벤트)execve (새로운 프로세스 실행)fork 및 clone (프로세스 생성)exit (프로세스 종료)setuid, setgid (권한 변경)1.2. File Events (파일 접근 및 변경)open, openat (파일 열기)unlink, unlinkat (파일 삭제)rename, .. 2025. 2. 12. 파일 무결성 모니터링(FIM)을 Osquery 통해 완벽한 이벤트 탐지 활용 1. File Integrity Monitoring (FIM) 개요File Integrity Monitoring (FIM)은 중요한 파일 및 디렉터리의 변경을 감지하는 보안 메커니즘으로, 시스템 침입 탐지, 무단 수정 감지, 규제 준수 목적 등에 활용됩니다. osquery는 다양한 운영 체제에서 FIM을 지원하며, 각각의 플랫폼에서 다음과 같은 이벤트 수집 방식을 사용합니다.Linuxfile_events (inotify 사용)process_file_events (Audit 사용)Windowsntfs_journal_events (NTFS Journaling 사용)macOSfile_events (FSEvents 사용)2. osquery에서 FIM 활성화기본적으로 FIM 기능은 비활성화되어 있으며, 다음 설정.. 2025. 2. 11. MongoDB와 Redis 활용한 보안 오픈소스 도구 및 차이점 MongoDB와 Redis는 현대 애플리케이션 개발에서 자주 사용되는 대표적인 NoSQL 데이터베이스입니다. 두 시스템은 각기 다른 특성과 사용 목적을 가지고 있으며, 이를 이해하면 프로젝트의 요구 사항에 맞는 최적의 데이터베이스를 선택할 수 있습니다. 또한, MongoDB는 다양한 오픈소스 도구와 연동하여 보안 및 데이터 관리를 강화할 수 있습니다. MongoDB와 Redis의 주요 차이점, MongoDB의 활용 사례, 그리고 MongoDB와 연동 가능한 보안 오픈소스 도구입니다.1. MongoDB와 Redis의 비교1.1 MongoDB데이터 모델: MongoDB는 문서 지향(Document-Oriented) 데이터베이스로, 데이터를 JSON과 유사한 BSON(Binary JSON) 형식으로 저장합니다.. 2024. 12. 9. 이전 1 2 3 4 다음 728x90 728x90
