fim5 Wazuh 활용한 방화벽 룰셋 모니터링 및 SCA 관리 체계 Wazuh를 사용하여 iptables 룰셋 변경 감지와 Security Configuration Assessment(SCA)를 통합하여 서버의 보안 상태를 점검하고, 변경 사항을 중앙에서 모니터링 및 관리하며, 이상 상태에 대한 알림을 설정하고 대응하는 전체 프로세스 체계로 각 단계별 설정 및 예시입니다.시스템 개요목표iptables 룰셋 변경을 실시간으로 감지하고, 중앙 로그로 수집 및 경고(Alert) 생성.SCA 룰셋을 활용해 주기적으로 시스템 보안 상태를 점검하고, 정책 위반(Failed)을 탐지.모든 이벤트를 중앙에서 관리하고 비정상 상태에 대한 알림과 대응 조치를 수행.구성 요소Wazuh Agent각 서버에서 iptables 및 SCA 데이터를 수집.Wazuh Manager중앙에서 데이터를 분.. 2025. 2. 22. Wazuh 환경에서 Yara 룰 패턴(시그니처) 기반 탐지 모니터링 및 대응 Yara는 악성코드 분석 및 탐지에 널리 사용되는 오픈 소스 도구로, 악성코드 샘플 내의 패턴(시그니처)을 기반으로 파일을 분류하고 식별하는 데 사용됩니다. 간단한 문법의 Yara 규칙을 작성하여 특정 문자열이나 바이너리 패턴을 정의하고, 이를 통해 파일이나 프로세스가 해당 패턴을 포함하는지 여부를 확인할 수 있습니다.Yara의 주요 특징패턴 매칭: 텍스트 문자열, 헥사 값, 정규 표현식 등을 사용하여 복잡한 패턴 매칭이 가능합니다.조건 설정: 논리 연산자를 활용하여 다양한 조건을 설정할 수 있습니다.태그 기능: 규칙에 태그를 부여하여 분류 및 관리가 용이합니다.Yara 규칙의 기본 구조rule 룰_이름 { strings: $str1 = "악성코드_패턴1" $str2 = {.. 2025. 2. 19. 파일 무결성 모니터링(FIM)을 Osquery 통해 완벽한 이벤트 탐지 활용 1. File Integrity Monitoring (FIM) 개요File Integrity Monitoring (FIM)은 중요한 파일 및 디렉터리의 변경을 감지하는 보안 메커니즘으로, 시스템 침입 탐지, 무단 수정 감지, 규제 준수 목적 등에 활용됩니다. osquery는 다양한 운영 체제에서 FIM을 지원하며, 각각의 플랫폼에서 다음과 같은 이벤트 수집 방식을 사용합니다.Linuxfile_events (inotify 사용)process_file_events (Audit 사용)Windowsntfs_journal_events (NTFS Journaling 사용)macOSfile_events (FSEvents 사용)2. osquery에서 FIM 활성화기본적으로 FIM 기능은 비활성화되어 있으며, 다음 설정.. 2025. 2. 11. 윈도우 프로세스 모니터 데이터 수집을 통한 추적 및 감사 Living Off The Land (LOTL) 공격을 탐지하기 위해 Wazuh를 사용하는 것은 보안 강화를 위해 필요합니다. 아래는 각 유형의 공격을 탐지하기 위한 주요 포인트와 이를 위해 Wazuh에서 사용할 수 있는 룰셋에 대한 설명입니다.취약점 악용 및 무차별 대입 로그인 시도 모니터링설명: 공격자가 시스템에 접근하기 위해 취약점을 악용하거나 무차별 대입 공격을 시도할 수 있습니다. 이러한 시도는 보안 로그에서 비정상적인 로그인 시도 또는 취약점 악용 시도로 나타날 수 있습니다.탐지 룰셋- rule: id: 100001 level: 12 description: "Brute force attack detected" status: "enabled" decoded_as: "j.. 2024. 9. 7. Osquery 시스템 아키텍처와 내부 동작 원리 이해 8년 동안 400명 이상의 기여자와 6,000개 이상의 커밋이 진행되었으며 지속적으로 개발 중인 osquery는 복잡한 프로젝트로, 수백만 대의 호스트에서 다양한 주요 기업들에 의해 배포되어 안정적인 성능과 신뢰성을 제공합니다. 이 글은 osquery 시스템 아키텍처에 대한 이해를 높이고자 하는 사용자, osquery에 기여하고자 하는 개발자, 그리고 성공적인 오픈 소스 프로젝트의 아키텍처에서 배울 것이 있는 모든 분들을 위한 것입니다. osquery에 대한 처음 접하는 분들을 위해, 실제로 프로젝트가 어떻게 사용되는지를 소개하는 "Monitoring macOS hosts with osquery"로 시작하는 것이 유용할 수 있습니다. 쿼리 엔진 osquery의 약속은 익숙한 SQL 방언을 사용하여 계측 .. 2023. 10. 13. 이전 1 다음 728x90
