Endpoint 로그분석 + Sysmon 설치 및 설정

Endpoint zeek이 우리망 내에 떠도는 로그들을 수집하여 중앙관제서버(SplunkServer)로 넘겨줍니다. 중앙관제서버는 그 로그들을 분석합니다(http, dns, ...). WebServer에서 발생하는 트래픽 또한 zeek이 받아서 중앙관제서버로 넘겨줍니다. => **마지막으로 Sysmon!!** 그림에서 ZeekIDS, WebServer, Sysmon과 같은 것들을 endpoint라고 하는데, 밑에 더이상 부착되는 시스템이 없는 마지막 지점이라고 해서 endpoint 라고 합니다. endpoint는 서버보다는 클라이언트 PC를 의미하는 경우가 많습니다. 요즘 서버들은 리눅스 베이스로 설치되어 있는데, 직원들이 사용하는 PC들은 윈도우인 경우가 많습니다. 우리 직원들이 사용하고 있는 PC에서..

• format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
• · 2024. 1. 12.
• textsms

DBD(Drive By Download) 공격

DBD(Drive By Download) 공격 취약점 설명 ● Drive By Download의 약자 ● 웹서핑 중 특정 실행파일 다운로드가 진행되는 것 ● 어떤 사이트를 방문했는데 방문한 사이트에서 자신도 모르게 악성파일을 다운로드 받게 되는 것 ● 공격자는 홈페이지를 해킹 후 사용자의 취약점을 익스플로잇(exploit)하는 악성 스크립트와 악성코드를 은닉 ● 취약한 PC 환경의 사용자가 홈페이지에 접속 시 사용자 의도와는 무관하게 악성코드가 다운로드되어 설치되는 공격기법 공격 포인트 웹브라우저의 취약점을 이용한 악성코드 삽입 브라우저에 설치된 플러그인이나 확장 프로그램의 취약점 이용 해킹시나리오 악성코드를 배포하는 유포지를 생성하고 사용자 접속을 유도하는 페이지인 경유지를 생성합니다. 경유지에서 re..

• format_list_bulleted 보안 취약점 진단 및 대응/취약점
• · 2024. 1. 12.
• textsms

HTTP 이상징후 분석

이전 포스트에 이어 작성하였습니다. [시스템 보안 및 실무/시스템 운영·구축 실무] - HTTP 로그분석(현황분석/이상징후) HTTP 로그분석(현황분석/이상징후) HTTP Log 환경구성 zeek이 http 로그를 수집하고, 그 로그를 중앙관제서버에 전송합니다. 중앙관제서버는 그 로그들을 로딩해서 저장소도 만들고, source type도 만드는 등의 작업해야합니다. 1. Index 만 psjin230.tistory.com HTTP 이상징후 분석 1. 비정상 메소드 사용 2. 외부행 데이터 전송 3. Mime-type과 파일 확장자 불일치 4. 사이트 이동 후 실행파일 다운로드 5. 프록시 서버 접속 1. 비정상 메소드 사용 ● Head, Delete, Trace, Option과 같은 메소드가 네트워크에서..

• format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
• · 2024. 1. 12.
• textsms

HTTP 네트워크 현황분석

이전 포스트에 이어서 작성하였습니다. [시스템 보안 및 실무/시스템 운영·구축 실무] - HTTP 로그분석(현황분석/이상징후) HTTP 로그분석(현황분석/이상징후) HTTP Log 환경구성 zeek이 http 로그를 수집하고, 그 로그를 중앙관제서버에 전송합니다. 중앙관제서버는 그 로그들을 로딩해서 저장소도 만들고, source type도 만드는 등의 작업해야합니다. 1. Index 만 psjin230.tistory.com HTTP 네트워크 현황 분석 ● 내부 인트라넷 서비스/인터넷 기반 서비스도 대부분 HTTP로 동작 ● HTTP를 분석 시 목적지가 인터넷인지 인트라넷인지 구분 필요 ● 공격자가 내부망에 침투했다면 중요 데이터의 외부유출을 시도 => 목적지가 인터넷으로 향하는 HTTP 인지 기업내부망으..

• format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
• · 2024. 1. 12.
• textsms

HTTP 로그분석(현황분석/이상징후)

HTTP Log 환경구성 zeek이 http 로그를 수집하고, 그 로그를 중앙관제서버에 전송합니다. 중앙관제서버는 그 로그들을 로딩해서 저장소도 만들고, source type도 만드는 등의 작업해야 합니다. 1. Index 만들기 1) splunk 접속 : http://127.0.0.1:8000 또는 http://localhost:8000 2) 설정-데이터-인덱스로 이동하여 인덱스 만들기 => 인덱스 이름 : httplog 2. Source Type 지정 1) 설정-데이터-SourceType으로 이동하여 Source Type 만들기 ts,uid,src,spt,dst,dpt,trans_depth,method,domain,uri,referrer,version,user_agent,request_body_len..

• format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
• · 2024. 1. 12.
• textsms

DNS 이상징후 분석

이전 포스트에 이어서 작성하였습니다. [시스템 보안 및 실무/시스템 운영·구축 실무] - DNS 로그분석(현황분석/이상징후) DNS 로그분석(현황분석/이상징후) 현황분석 - 현재 발생하는 상황을 파악하는 작업 - 우리망에서 이런 일이 있었구나 - 무조건 문제가 있는 것은 아님 - 우리 직원들은 어느 사이트에 많이 접속하는구나를 파악 이상징후 - 평균적 psjin230.tistory.com DNS 이상징후 분석 1. 비정상적인 서브 도메인 길이 2. 비허가 DNS 사용/DNS 터널링 1. 비정상적인 서브 도메인 길이 ● 한국인터넷진흥원의 도메인 관리 원칙 : 도메인명 2~63자 구성 ● 서브도메인은 도메인 소유자가 생성 ● 비정상적인 도메인 길이는 주로 서브도메인을 의미 ● 클라우드서비스(CDN, Cont..

• format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
• · 2024. 1. 11.
• textsms

DNS 네트워크 현황분석

이전 포스트에 이어서 작성하였습니다. [시스템 보안 및 실무/시스템 운영·구축 실무] - DNS 로그분석(현황분석/이상징후) DNS 로그분석(현황분석/이상징후) 현황분석 - 현재 발생하는 상황을 파악하는 작업 - 우리망에서 이런 일이 있었구나 - 무조건 문제가 있는 것은 아님 - 우리 직원들은 어느 사이트에 많이 접속하는구나를 파악 이상징후 - 평균적 psjin230.tistory.com DNS 로그분석 ● DNS 로그는 사용자의 네트워크 접속 행위를 분석하는데 가장 좋은 데이터 소스 ● 내부망 DNS 로그 분석 - 직원들의 접속 패턴을 확인할 때 사용 - 공격자의 악성코드에 감염된 내부 PC가 내부 데이터 획득을 목표로 활동하는 상황을 파악할 수 있음 => 좀비 PC는 악성코드에 감염된 PC로, 이걸 ..

• format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
• · 2024. 1. 11.
• textsms

DNS 로그분석(현황분석/이상징후)

현황분석- 현재 발생하는 상황을 파악하는 작업- 우리 망에서 이런 일이 있었구나- 무조건 문제가 있는 것은 아님- 우리 직원들은 어느 사이트에 많이 접속하는구나를 파악 이상징후- 평균적인 상황을 파악하다가 이상징후가 포착이 되면 관리자/침해대응팀에게 알림- 현황분석을 해서 문제가 없을 수도 있고, 그중 이상징후를 탐지할 수도 있음DNS Log 환경구성=> ZeekIDS는 우리망에 떠돌아다니는 네트워크 로그들을 수집하여 저장, 이것을 중앙관제에 scp를 사용하여 넘겨줌시나리오 : Zeek을 통해 DNS Log를 압축하여 중앙관제서버에게 넘겨줍니다. 중앙관제서버 입장에서는 sample_log/dns/dns.zip을 넘겨받은 것입니다. 중앙관제서버는 Splunk에 해당 로그를 로딩합니다.(splunk에 로그 ..

• format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
• · 2024. 1. 11.
• textsms