elastic9 Wazuh 활용한 방화벽 룰셋 모니터링 및 SCA 관리 체계 Wazuh를 사용하여 iptables 룰셋 변경 감지와 Security Configuration Assessment(SCA)를 통합하여 서버의 보안 상태를 점검하고, 변경 사항을 중앙에서 모니터링 및 관리하며, 이상 상태에 대한 알림을 설정하고 대응하는 전체 프로세스 체계로 각 단계별 설정 및 예시입니다.시스템 개요목표iptables 룰셋 변경을 실시간으로 감지하고, 중앙 로그로 수집 및 경고(Alert) 생성.SCA 룰셋을 활용해 주기적으로 시스템 보안 상태를 점검하고, 정책 위반(Failed)을 탐지.모든 이벤트를 중앙에서 관리하고 비정상 상태에 대한 알림과 대응 조치를 수행.구성 요소Wazuh Agent각 서버에서 iptables 및 SCA 데이터를 수집.Wazuh Manager중앙에서 데이터를 분.. 2025. 2. 22. Elasticsearch에서 Agent 수집된 로그의 유형별 집계 및 관리 방법 Elastic Agent로 수집된 로그 데이터를 Elasticsearch에서 유형별로 집계하고, 최근 30일 간의 일별 카운트를 집계하는 과정을 단계별로 설명합니다. 아래에 제시된 명령어와 옵션은 Kibana의 Dev Tools에서 사용할 수 있습니다.1단계: 데이터 구조 확인Elasticsearch에 저장된 로그 데이터의 필드 구조를 확인해야 합니다.Elastic Agent가 수집한 로그에는 일반적으로 log.type 또는 event.dataset과 같은 필드가 사용됩니다.@timestamp 필드는 로그의 시간 정보를 나타냅니다.샘플 쿼리GET /your-index-pattern-*/_mapping위 명령어를 실행하면 인덱스의 매핑 정보가 반환됩니다. 여기에서 사용할 필드 이름(log.type 또는 e.. 2025. 1. 28. Kali Linux VM(VirtualBox)으로 Elastic SIEM 구축 단계 Elastic SIEM 구축을 위한 명령어와 옵션을 포함한 세부 단계를 간략하게 정리합니다.작업 1: Elastic 계정 설정Elastic Cloud에서 무료 체험을 등록합니다.Elastic Cloud에서 계정을 생성합니다.Elastic Cloud 콘솔에 로그인한 후 "Start your free trial"을 클릭합니다."Create Deployment" 버튼을 클릭하고 "Elasticsearch"를 선택합니다.지역과 배포 크기를 선택하고 "Create Deployment"를 클릭합니다.설정이 완료되면 "Continue"를 클릭합니다.작업 2: Linux VM 설정VirtualBox에 Kali Linux VM 설치Kali Linux VM 다운로드Kali Linux VM 페이지에서 VM 이미지를 다운로드.. 2024. 9. 21. Kibana Alerting 복잡한 조건을 체크 및 알람 n8n 자동화 연동 n8n을 사용하여 Kibana와 연동하여 복잡한 조건을 체크하고 알람을 설정하는 자동화 프로세스를 구축하는 것은 좋은 선택입니다. n8n은 데이터를 수집, 처리, 모니터링 및 자동화할 수 있는 강력한 워크플로 자동화 도구입니다. 여기에 Kibana와의 연동을 포함하는 프로세스를 설명하겠습니다.1. n8n 환경 설정n8n을 설치하고 실행해야 합니다. n8n은 Docker, npm, 또는 바이너리 파일을 통해 설치할 수 있습니다.2. Kibana에서 데이터 접근 설정Kibana에서 데이터를 검색하려면 Elasticsearch의 API를 사용할 수 있습니다. 이를 위해서는 Kibana가 설치된 서버에서 API 접근이 가능하도록 설정해야 합니다. 보안을 위해 API 키를 생성하거나 HTTP 인증을 설정할 수 있.. 2024. 7. 16. 조직 내부에 TI(Threat Intelligence) 환경 구축 및 운영으로 보안수준 향상 TI (Threat Intelligence) 환경을 내부에서 구축하고 운영하는 것은 조직의 보안 수준을 향상시키는 데 큰 도움이 될 수 있습니다. 여기에는 몇 가지 일반적이고 표준적인 방법들이 있습니다.TI 플랫폼 선정: 먼저, 조직에 맞는 TI 플랫폼을 선정해야 합니다. 시중에는 MISP (Malware Information Sharing Platform), ThreatConnect, Anomali ThreatStream 등 다양한 TI 플랫폼이 있습니다. 각 플랫폼의 기능, 비용, 호환성 등을 고려하여 선택하세요.데이터 수집: TI 환경의 핵심은 다양한 출처에서 정보를 수집하는 것입니다. 이는 공개 소스(OSINT), 사이버 범죄 포럼, 다크웹, 정부 보고서, 상업적 피드 등을 포함할 수 있습니다. .. 2024. 7. 4. 이전 1 2 다음 728x90
