본문 바로가기

Wazuh29

728x90
Linux 인프라 지식 그래프(Knowledge Graph) 온톨로지 아키텍처 설계 리눅스 서버의 설정, 프로세스, 포트, 서비스 상태, 계정, 네트워크, 패키지, 보안설정 등을 지속적으로 수집하고 이를 “온톨로지(Ontology)” 형태로 구성하면 단순 모니터링을 넘어 다음과 같은 수준까지 확장할 수 있습니다.자산 관계 기반 분석공격 경로 추적구성 드리프트(Configuration Drift) 탐지이상행위 탐지보안 영향도 분석CMDB + 보안지식그래프(Security Knowledge Graph)AI 기반 질의/추론(RAG + Graph)특히 보안 운영 조직에서는 단순 “수집”보다도어떤 관계를 정의할 것인가어떤 개체(Entity)를 기준으로 모델링할 것인가어떤 변경을 추적할 것인가가 핵심입니다.아래와 같이 단계별로 접근하면 실무적으로 매우 효과적입니다.전체 구조 개요가장 추천되는 구조.. 2026. 5. 31.
클라우드 보안 체계 구축 CNAPP 솔루션 Wiz·CrowdStrike·오픈소스 테이텀 시큐리티 SNAPP(CNAPP) 핵심 기능Wiz CNAPP와의 기능·접근 방식 비교CrowdStrike Falcon Cloud Security(CNAPP 계열)에서의 유사 기능보안 관점에서 어떤 걸 어디에 쓰면 좋은지, 점검 포인트테이텀 시큐리티 SNAPP(CNAPP) – 국내 클라우드 특화 CNAPP테이텀은 아예 회사 슬로건부터 “클라우드 네이티브 보안”을 전면에 내세우는 국내 업체이고,Tatum CNAPP / Tatum CSPM 중심으로 국내 규제·컴플라이언스 대응을 강하게 밀고 있습니다.SNAPP / Tatum CNAPP에서 제공하는 주요 기능 축공식 소개·자료 기준으로 정리하면, Tatum CNAPP/SNAPP는 대략 이런 기능 구성을 가집니다.CSPM(Cloud Security Postu.. 2025. 12. 2.
상용 DLP 없이 개인정보 지키기: 리눅스 기반 오픈소스 DLP 운영 가이드 리눅스 + 오픈소스 DLP의 현실적인 목표상용 엔드포인트 DLP처럼“파일을 USB/웹/메일로 내보내는 순간 실시간 차단”“화면 캡처, 클립보드, 인쇄까지 통합 통제”를 오픈소스 + 리눅스에서 완전히 동일하게 구현하는 건 사실상 불가능에 가깝습니다.온프레미스 리눅스 + OSS 환경에서는 보통 이렇게 목표를 잡는 게 현실적입니다.어디에 민감정보가 있는지 계속 찾아내고(Discovery)누가 그 데이터에 접근·복사·전송했는지 커널 레벨로 감사(Audit)이상 행위를 중앙에서 탐지·알림(SIEM/HIDS)가능한 채널(예: AI API, Proxy, Git, SFTP 등)에서 “텍스트/파일 내용” 기반 유출 패턴을 검사조직 정책과 권한 구조를 함께 정비아래는 이 목표를 위해 쓸 수 있는 현실적인 오픈소스 구성입니.. 2025. 11. 21.
Wazuh Indexer(OpenSearch) 모니터링 표준 메트릭, 대시보드, 경보 관제 아래 구성은 3개 노드 Wazuh Indexer(OpenSearch) 클러스터를 대상으로,Prometheus Exporter로 노드 성능 지표 수집 → Prometheus/Grafana 시각화,ElastAlert2로 OpenSearch 쿼리 기반 탐지 → Slack 알림,오류 해결(매핑/호환모드/TLS),Dev Tools(콘솔)에서 바로 실행할 스니펫까지 한 번에 정리한 운영 표준 레시피입니다.인프라 구성 개요(아키텍처)OpenSearch(Wazuh Indexer) ×3각 노드에 opensearch-prometheus-exporter 플러그인 설치/_prometheus/metrics에서 노드 지표 노출Prometheus각 노드 /_prometheus/metrics를 스크레이프(선택) Alertmanage.. 2025. 11. 15.
Wazuh Manager 과부하 Queue Full 튜닝 + NGINX 라운드로빈 가이드 Wazuh Manager의 “queue full” 문제를 해소하고, NGINX stream 로드밸런서로 라운드로빈 분산을 적용하는 과정을 점검→완화→근본개선→모니터링 순서로 정리한 가이드입니다. 근거·배경, 보안 관점 점검포인트, 구체 예시(명령/설정)까지 담았습니다.목표analysisd, remoted 등 내부 큐 포화(Queue full) 원인 파악·완화이벤트 유입량(throughput) ≤ 처리량(processing) 상태로 복원NGINX stream 라운드로빈을 통한 수평 분산으로 구조적 대응변경 후 드롭/지연 없는 안정 운영 + 모니터링/알림 체계 수립빠른 진단 체크리스트 (10분 점검)증상 확인대표 징후: queue is full, messages dropped, analysisd: … dec.. 2025. 10. 19.
728x90
728x90