Wazuh9 클라우드 환경 로그 MinIO 객체 저장소 기록 및 비정상 행위 모니터링 MinIO를 클라우드 환경에서 로그 기록 및 참조 활용을 위해 구성하고, 인증 및 접근 액세스 로그를 기록하고 수집하여 비정상 행위를 모니터링하는 방법입니다.1. MinIO 구성MinIO는 객체 저장소로서 간편하게 설치 및 운영이 가능합니다. MinIO를 설치하는 방법은 여러 가지가 있지만, 여기서는 Docker를 이용한 설치 방법을 설명합니다.docker run -p 9000:9000 --name minio \ -e "MINIO_ROOT_USER=youraccesskey" \ -e "MINIO_ROOT_PASSWORD=yoursecretkey" \ -v /mnt/data:/data \ -v /mnt/config:/root/.minio \ quay.io/minio/minio server /dat.. 2024. 10. 2. Vi 에디터 스왑파일(swp) 생성 시 공격자 악용 탐지 및 해결 방법 공격자가 스왑 파일을 악용하여 크레딧 카드 정보를 훔치는 사례에서 보안 대응 측면입니다. 이런 유형의 공격에 효과적으로 대응하기 위해 몇 가지 주요 단계와 권장 사항을 설명합니다.1. 공격 벡터 이해공격자는 서버의 스왑 파일을 이용하여 맬웨어를 은닉하고, 일반적인 파일 탐지 방법을 회피할 수 있습니다. 스왑 파일은 보통 편집 도중 발생하는 충돌을 방지하기 위해 생성되며, 이 파일을 통해 악성 코드를 삽입하여 서버에 남겨둘 수 있습니다.2. 탐지 및 분석파일 시스템 스캔: 정기적으로 파일 시스템을 스캔하여 의심스러운 스왑 파일을 식별합니다. find 명령어를 활용하여 스왑 파일을 찾을 수 있습니다.find / -type f -name "*-swapme"파일 무결성 검사: osquery와 같은 도구를 사용하.. 2024. 9. 19. 윈도우 프로세스 모니터 데이터 수집을 통한 추적 및 감사 Living Off The Land (LOTL) 공격을 탐지하기 위해 Wazuh를 사용하는 것은 보안 강화를 위해 필요합니다. 아래는 각 유형의 공격을 탐지하기 위한 주요 포인트와 이를 위해 Wazuh에서 사용할 수 있는 룰셋에 대한 설명입니다.취약점 악용 및 무차별 대입 로그인 시도 모니터링설명: 공격자가 시스템에 접근하기 위해 취약점을 악용하거나 무차별 대입 공격을 시도할 수 있습니다. 이러한 시도는 보안 로그에서 비정상적인 로그인 시도 또는 취약점 악용 시도로 나타날 수 있습니다.탐지 룰셋- rule: id: 100001 level: 12 description: "Brute force attack detected" status: "enabled" decoded_as: "j.. 2024. 9. 7. 클라우드 환경별 Wazuh 클러스터 매니저 구성 및 에이전트 등록 방법 Wazuh를 설치하는 방법은 사용하는 환경에 따라 다를 수 있습니다. 여기서는 Amazon EKS(Elastic Kubernetes Service)를 사용하는 경우와 그 외의 Kubernetes 클러스터에 설치하는 경우에 대해서 구성하는 방법입니다.EKS 클러스터에 Wazuh 설치EKS 클러스터에 Wazuh를 설치하기 위해서는 AWS의 관리형 Kubernetes 서비스를 활용합니다. 다음은 EKS 클러스터에 Wazuh를 설치하는 단계별 가이드입니다.1. EKS 클러스터 설정EKS 클러스터를 설정해야 합니다. AWS CLI를 사용하여 클러스터를 생성할 수 있습니다.# EKS 클러스터 생성aws eks create-cluster \ --name my-cluster \ --role-arn arn:a.. 2024. 8. 31. FireEye HX APT 솔루션 다양한 보안 이벤트 탐지 분석 대응 FireEye HX는 다양한 보안 이벤트를 탐지하고 분석할 수 있는 강력한 APT/EDR 솔루션입니다.FireEye HX에서 이벤트 수집 방법1. 로그인 및 대시보드 접근FireEye HX 관리 콘솔에 로그인합니다. 대시보드에서 현재 상태와 최근 이벤트를 확인할 수 있습니다.2. 이벤트 설정설정 접근: 관리 콘솔에서 "Settings"로 이동합니다.정책 및 규칙 설정: "Policies" 또는 "Rules" 섹션으로 이동하여 필요한 이벤트 수집 정책을 설정합니다.기본 정책: 기본 제공되는 정책을 활용할 수 있으며, 필요에 따라 수정하거나 새로운 정책을 추가할 수 있습니다.규칙 설정: 특정 조건에 맞는 이벤트를 탐지하기 위해 규칙을 설정합니다. 예를 들어, 특정 파일 접근, 네트워크 연결, 프로세스 실행 .. 2024. 8. 25. 이전 1 2 다음 728x90
