Osquery16 728x90 Linux EDR (Endpoint Detection and Response) 솔루션 주요기능과 활용 기법 EDR(Endpoint Detection and Response)을 활용하여 리눅스 환경에서의 방어 회피 공격 탐지 및 위협 분석을 효과적으로 수행하는 방법입니다. 이 과정에서는 EDR 솔루션의 핵심 기능과 리눅스 환경에서의 방어 회피 기법, 그리고 이를 탐지하기 위한 전략입니다.1. EDR의 핵심 기능EDR 솔루션은 다음과 같은 기능을 통해 리눅스 시스템의 보안을 강화합니다:실시간 모니터링: EDR은 실시간으로 시스템에서 발생하는 모든 활동을 모니터링하여 이상 징후를 탐지합니다.행동 기반 탐지: 서명 기반 탐지 외에도, 비정상적인 행동을 통해 잠재적 위협을 탐지합니다.위협 인텔리전스 통합: 최신 위협 정보를 바탕으로 새로운 공격 벡터를 탐지합니다.사고 대응 자동화: 탐지된 위협에 대해 자동화된 대응 절.. 2024. 12. 1. Snipe-IT, SecureCodeBox, Wazuh 통합하여 서버 및 웹 취약점 관리 방안 Snipe-IT, SecureCodeBox, 그리고 Wazuh를 통합하여 서버와 웹사이트 단위의 취약점 점검, 결과 대시보드 구성, 그리고 자산 관리 방안을 구축하는 방법입니다. 이 통합 솔루션을 통해 조직의 보안 상태를 체계적으로 운영하고, 실시간 모니터링과 자동화된 취약점 관리를 구현할 수 있습니다.환경 구축Snipe-IT 설정SecureCodeBox 설정 및 활용Wazuh 설정 및 통합통합 관리 및 운영Wazuh에서 SecureCodeBox 스캔 결과 통합보안 설정 준수 여부 체크 스크립트 통합항목별 결과 식별 및 관리SCA 모듈을 통한 커스텀 스크립트 통합FIM(File Integrity Monitoring) 소개Wazuh를 통한 iptables 룰셋 수집Wazuh에서 Osquery 활용리스닝 포.. 2024. 11. 27. 자동화된 파일 추출 및 보안 대응을 위한 Osquery 시스템 구축 Osquery는 Facebook에서 개발한 오픈 소스 도구로, SQL 기반의 쿼리를 통해 시스템의 상태와 활동을 모니터링할 수 있습니다. 시스템 관리 및 보안 분야에서 널리 사용되며, 크로스 플랫폼을 지원하여 다양한 운영 체제에서 활용할 수 있습니다. Osquery File Carve Server 프로젝트는 Osquery의 파일 카빙(carving) 기능을 활용하여 원격 시스템에서 파일을 추출하고, 이를 중앙 서버로 전송하여 저장 및 관리하는 시스템입니다. 이 프로젝트는 Golang, Docker, MongoDB, NGINX 등의 기술 스택을 사용하여 구축되며, 조직 내 보안 및 관리 업무를 효율화하는 데 기여합니다.주요 기술Golang: 서버 애플리케이션 개발 언어Docker & Docker Compo.. 2024. 11. 1. Vi 에디터 스왑파일(swp) 생성 시 공격자 악용 탐지 및 해결 방법 공격자가 스왑 파일을 악용하여 크레딧 카드 정보를 훔치는 사례에서 보안 대응 측면입니다. 이런 유형의 공격에 효과적으로 대응하기 위해 몇 가지 주요 단계와 권장 사항을 설명합니다.1. 공격 벡터 이해공격자는 서버의 스왑 파일을 이용하여 맬웨어를 은닉하고, 일반적인 파일 탐지 방법을 회피할 수 있습니다. 스왑 파일은 보통 편집 도중 발생하는 충돌을 방지하기 위해 생성되며, 이 파일을 통해 악성 코드를 삽입하여 서버에 남겨둘 수 있습니다.2. 탐지 및 분석파일 시스템 스캔: 정기적으로 파일 시스템을 스캔하여 의심스러운 스왑 파일을 식별합니다. find 명령어를 활용하여 스왑 파일을 찾을 수 있습니다.find / -type f -name "*-swapme"파일 무결성 검사: osquery와 같은 도구를 사용하.. 2024. 9. 19. macOS 환경 osqueryi 설치 및 호스트 모니터링 보안 분석 FleetDM을 통해 osquery 패키지를 설치한 경우, 기본적으로 osqueryi 인터랙티브 쉘은 포함되지 않을 수 있습니다. 이를 해결하기 위해서는 osqueryi를 별도로 설치해야 합니다. 아래는 macOS에서 osqueryi를 설치하는 방법입니다.1. Homebrew 설치Homebrew가 설치되어 있지 않다면, 먼저 Homebrew를 설치해야 합니다. 터미널을 열고 다음 명령어를 입력합니다./bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"2. osquery 설치Homebrew를 이용하여 osquery를 설치합니다. 이 과정에서 osqueryi도 함께 설치됩니다.brew ins.. 2024. 8. 29. 이전 1 2 3 4 다음 728x90 728x90
