본문 바로가기

Osquery20

728x90
Linux 인프라 지식 그래프(Knowledge Graph) 온톨로지 아키텍처 설계 리눅스 서버의 설정, 프로세스, 포트, 서비스 상태, 계정, 네트워크, 패키지, 보안설정 등을 지속적으로 수집하고 이를 “온톨로지(Ontology)” 형태로 구성하면 단순 모니터링을 넘어 다음과 같은 수준까지 확장할 수 있습니다.자산 관계 기반 분석공격 경로 추적구성 드리프트(Configuration Drift) 탐지이상행위 탐지보안 영향도 분석CMDB + 보안지식그래프(Security Knowledge Graph)AI 기반 질의/추론(RAG + Graph)특히 보안 운영 조직에서는 단순 “수집”보다도어떤 관계를 정의할 것인가어떤 개체(Entity)를 기준으로 모델링할 것인가어떤 변경을 추적할 것인가가 핵심입니다.아래와 같이 단계별로 접근하면 실무적으로 매우 효과적입니다.전체 구조 개요가장 추천되는 구조.. 2026. 5. 31.
Apple Silicon 메모리 압박(Memory Pressure) 제대로 모니터링하기 macOS(Mac mini 포함) CLI 환경에서 CPU/메모리/디스크 등을 많이 사용하는 상위 프로세스를 조회하는 방법은 여러 가지가 있습니다.가장 기본 — topCPU 많이 사용하는 프로세스top -o cpu의미CPU 사용률 기준 정렬실시간 갱신메모리 많이 사용하는 프로세스top -o mem한 번만 출력스크립트/자동화용top -l 1 -o cpuhtop (가장 추천)macOS에서 가장 보기 좋음설치brew install htop실행htop유용한 기능키기능PCPU 정렬MMemory 정렬TTIME 정렬F5Tree Viewkkill/검색ps 기반 상위 프로세스 조회자동화/스크립트에 매우 유용CPU 상위 10개ps -Ao pid,ppid,comm,%cpu,%mem --sort=-%cpu | head예시PID.. 2026. 4. 26.
Docker·containerd·CRI-O·Kubernetes 환경 컨테이너 탈출 탐지 전략 컨테이너 탈출 탐지의 현실컨테이너 탈출은 “하나의 이벤트”가 아니라 “행위 조합”컨테이너 탈출 시도는 보통 다음 요소들이 연속적으로 나타납니다.격리 경계 접근: /proc, /sys, /dev, namespace 조작권한 상승 시도: CAP_SYS_ADMIN, setcap, SUID, unshare, nsenter호스트 제어면 접근: Docker 소켓(/var/run/docker.sock), kubelet API, container runtime socket호스트 지속성: cron/systemd 변조, ssh key 추가, 바이너리 드롭👉 따라서 실무에서는 “A 단독이면 경고”, “A+B면 중간”, “A+B+C면 고위험” 같은 스코어링/상관분석이 맞습니다.osquery의 강점/한계강점: 프로세스/권한/.. 2026. 2. 12.
Wazuh & Osquery 보안 에이전트 패키지 배포 내부 yum 저장소 구축 osquery와 wazuh agent 패키지를 로컬 시스템에 미러링하고, 내부 시스템에서 yum을 통해 설치/업데이트할 수 있는 도커 기반 환경을 구축하는 방법입니다.패키지 미러링 시스템 아키텍처디렉토리 구조repo-mirror/├── docker-compose.yml├── nginx/│ ├── Dockerfile│ └── nginx.conf├── sync/│ ├── Dockerfile│ ├── sync-repos.sh│ └── crontab├── data/│ ├── repos/│ │ ├── wazuh/│ │ └── osquery/│ └── gpg-keys/└── scripts/ └── init-repos.shDocker Compose 구성docker-comp.. 2025. 8. 8.
Sigma 기반 Linux 환경 보안 위협 탐지 룰셋 작성 및 수행 가이드 Sigma 개요 및 배경Sigma는 SIEM 시스템 간에 범용적으로 활용 가능한 탐지 규칙 형식으로, YAML 형식으로 구성되어 있으며 다양한 탐지 조건을 명확히 정의할 수 있는 장점이 있습니다. Sigma 규칙을 sigmac을 활용하여 Elasticsearch, osquery, Wazuh 등 다양한 형태로 변환할 수 있습니다.탐지 시나리오: SSH Key 파일 무단 접근 및 변경 탐지리눅스 환경에서 공격자가 SSH 키 파일을 무단으로 접근하거나 변경하여 접근 권한을 획득하려는 시도를 탐지합니다.Sigma YAML 규칙 작성 예시title: Unauthorized SSH Key Access or Modificationid: 87654321-abcd-1234-abcd-87654321abcdlogsource.. 2025. 3. 20.
728x90
728x90