Windows59 Wazuh(OSSEC) 운영에 대한 상세 설명 및 운영 예시 1. Endpoint Detection and Response (EDR)Endpoint Detection and Response(EDR)은 위협이나 보안 침해를 나타낼 수 있는 활동을 모니터링하는 도구와 애플리케이션의 집합입니다. EDR 도구와 애플리케이션의 주요 기능은 다음과 같습니다.일반 취약점 점검: 기기에 대한 감사 수행프로액티브 모니터링: 무단 로그인, 브루트 포스 공격, 권한 상승과 같은 의심스러운 활동 모니터링데이터 시각화: 복잡한 데이터와 이벤트를 깔끔한 그래프로 시각화정상 운영 행동 기록: 이상 탐지에 도움2. Wazuh 개요Wazuh는 2015년에 만들어진 오픈 소스, 무료 EDR 솔루션입니다. 다양한 보안 기능을 제공하며, 특히 다음과 같은 기능을 갖추고 있습니다.실시간 보안 정보와 .. 2024. 8. 6. Windows NT 경로 변환 로직을 악용한 취약점 탐지 및 방어 방안 이번에 설명할 취약점은 Windows NT 경로 변환 로직을 악용하여 악성 행위자가 파일, 디렉터리, 및 프로세스를 숨기고 가장하는 루트킷 유사 기능을 사용할 수 있게 합니다. 주요 취약점은 경로 내에 존재하는 점(.)과 공백을 NT 경로로 변환하는 과정에서 제거하면서 발생합니다.취약점 상세NT 파일 시스템에서는 파일 이름이나 경로에 포함된 점(.)이나 공백 등을 정상적으로 무시하는 경우가 있습니다. 예를 들어, c:\windows.\system32\svchost.exe와 같은 경로에서 windows. 뒤의 점이 무시되고, 실제 파일 경로는 c:\windows\system32\svchost.exe로 처리될 수 있습니다. 이를 악용하면, 악성 코드가 정상적인 시스템 프로세스로 가장하고 탐지를 회피할 수 있.. 2024. 7. 23. Windows Update 상태 체크 및 강제 업데이트 PowerShell 실행 관리 Windows에서 업데이트의 마지막 수행 일자를 체크하고, 그 일자가 1개월 이상 지났을 경우 강제로 업데이트를 실행하는 스크립트를 PowerShell을 사용하여 작성할 수 있습니다.# 윈도우 업데이트 서비스를 가져옵니다.$UpdateSession = New-Object -ComObject Microsoft.Update.Session$UpdateSearcher = $UpdateSession.CreateUpdateSearcher()# 마지막 검색 시간을 확인합니다.$LastSearch = $UpdateSearcher.QueryHistory(0, 1)if ($LastSearch.Count -gt 0) { $LastUpdateDate = $LastSearch[0].Date $CurrentDate =.. 2024. 7. 14. Harpoon을 통한 컨테이너화 애플리케이션 배포 및 모니터링 관리 harpoon과 harpoon-ext는 Docker Extension으로 No Code Kubernetes 플랫폼을 위해 설계된 도구입니다. Kubernetes는 컨테이너화된 애플리케이션을 자동으로 배포, 확장 및 관리할 수 있도록 해주는 오픈 소스 시스템입니다. 이러한 플랫폼은 복잡한 쿠버네티스 클러스터 관리를 단순화하여 개발자가 인프라에 신경 쓰지 않고 애플리케이션에 더 집중할 수 있게 해줍니다.Harpoon목적: Harpoon은 Docker와 Kubernetes 환경에서 컨테이너화된 애플리케이션의 관리를 쉽게 하기 위해 만들어진 도구입니다.기능: 이 도구는 컨테이너를 쉽게 배포하고, 모니터링하며, 관리할 수 있게 해주는 다양한 기능을 제공합니다. 사용자가 코딩 없이도 GUI를 통해 컨테이너의 생명주.. 2024. 6. 15. 윈도우PC 보안 컴플라이언스 필수 및 위반 서비스 실행상태 모니터링 윈도우에서 특정 서비스가 실행 중인지 확인하려면 명령 프롬프트나 PowerShell을 사용할 수 있습니다. 다음은 명령 프롬프트에서 사용할 수 있는 명령어입니다.명령 프롬프트에서 서비스 상태 확인하기sc query [서비스 이름] 명령어를 사용하여 특정 서비스의 상태를 확인할 수 있습니다. 이 명령어는 서비스가 실행 중인지, 중지되었는지 또는 다른 상태인지를 보여줍니다. [서비스 이름] 부분에는 확인하고자 하는 서비스의 정확한 이름을 입력해야 합니다. 예를 들어, "Spooler" 서비스(프린터 스풀러 서비스)의 상태를 확인하려면 다음 명령어를 사용합니다.sc query SpoolerPowerShell에서 서비스 상태 확인하기PowerShell을 사용하는 경우, Get-Service 명령어를 사용하여 서.. 2024. 6. 7. 이전 1 2 3 4 ··· 12 다음 728x90