보안관제 탐지·방어 기술 및 보안관제 시스템

보안관제 탐지·방어 기술 및 보안관제 시스템

보안관제 기술 작가 pch.vector 출처 Freepik 탐지기술 탐지기술은 패턴기반탐지, 행위기반탐지, 상관분석으로 분류합니다. 패턴기반탐지 - 공격방법과 공격도구에 대한 분석을 통해 특정 패턴 파악 - 장점 : 탐지속도 빠름, 정확성 높음 - 단점 : 사전에 분석된 공격형태만 탐지 가능 - 관련 보안 시스템 : IDS/IPS, WAF, DDos, Anti-Virus 행위기반탐지 - 일반적인 사용자와 구별되는 인터넷 사용패턴에 기반을 둔 탐지기법 - 공격유형과 사용자 행동을 기계 학습으로 모델링 - 장점 : 통계기반 비정상 행위 탐지에 효과적 - 단점 : 통계적 특징이 불명확한 공격은 탐지 불가 - 관련 보안 시스템 : IDS/IPS, WAF 상관분석 - 둘 이상 이벤트가 서로 의미를 부여하여 하나의..

  • format_list_bulleted 시스템 운영·구축 실무
  • · 2024. 1. 17.
  • textsms
보안관제 이해 및 실무

보안관제 이해 및 실무

보안관제 이해 및 실무 작가 pch.vector 출처 Freepik 보안관제란? 조직의 정보기술 자원 및 보안 시스템을 안전하게 운영하기 위하여 사이버 공격 정보를 탐지 및 분석하여 대응하는 일련의 업무와 사전 예방 및 관제시스템 운영에 관한 업무 => 모니터링과 컨트롤 => 탐지·분석·대응까지 포함하는 일련의 활동 국내 분야별 보안관제센터 역할 국가사이버안전센터 국가차원에서 사업공격에 대한 종합적이고 체계적인 대응 수행 인터넷침해대응센터 국내 민간 전산망 정보보호 - 침해사고 예방을 위한 기술 지원 - 실질적인 침해사고 대응 및 분석, 피해복구 기술 지원 각 부문별 사이버안전센터 사이버 위협으로부터 보안전문인력에 의해 예방, 탐지, 대응 활동을 통하여 정부 및 기관의 주요정보 자산을 보호 보안관제 기본..

  • format_list_bulleted 시스템 운영·구축 실무
  • · 2024. 1. 16.
  • textsms
Endpoint 로그분석 + Sysmon 설치 및 설정

Endpoint 로그분석 + Sysmon 설치 및 설정

Endpoint zeek이 우리망 내에 떠도는 로그들을 수집하여 중앙관제서버(SplunkServer)로 넘겨줍니다. 중앙관제서버는 그 로그들을 분석합니다(http, dns, ...). WebServer에서 발생하는 트래픽 또한 zeek이 받아서 중앙관제서버로 넘겨줍니다. => **마지막으로 Sysmon!!** 그림에서 ZeekIDS, WebServer, Sysmon과 같은 것들을 endpoint라고 하는데, 밑에 더이상 부착되는 시스템이 없는 마지막 지점이라고 해서 endpoint 라고 합니다. endpoint는 서버보다는 클라이언트 PC를 의미하는 경우가 많습니다. 요즘 서버들은 리눅스 베이스로 설치되어 있는데, 직원들이 사용하는 PC들은 윈도우인 경우가 많습니다. 우리 직원들이 사용하고 있는 PC에서..

  • format_list_bulleted 시스템 운영·구축 실무
  • · 2024. 1. 12.
  • textsms
HTTP 이상징후 분석

HTTP 이상징후 분석

이전 포스트에 이어 작성하였습니다. [시스템 보안 및 실무/시스템 운영·구축 실무] - HTTP 로그분석(현황분석/이상징후) HTTP 로그분석(현황분석/이상징후) HTTP Log 환경구성 zeek이 http 로그를 수집하고, 그 로그를 중앙관제서버에 전송합니다. 중앙관제서버는 그 로그들을 로딩해서 저장소도 만들고, source type도 만드는 등의 작업해야합니다. 1. Index 만 psjin230.tistory.com HTTP 이상징후 분석 1. 비정상 메소드 사용 2. 외부행 데이터 전송 3. Mime-type과 파일 확장자 불일치 4. 사이트 이동 후 실행파일 다운로드 5. 프록시 서버 접속 1. 비정상 메소드 사용 ● Head, Delete, Trace, Option과 같은 메소드가 네트워크에서..

  • format_list_bulleted 시스템 운영·구축 실무
  • · 2024. 1. 12.
  • textsms
HTTP 네트워크 현황분석

HTTP 네트워크 현황분석

이전 포스트에 이어서 작성하였습니다. [시스템 보안 및 실무/시스템 운영·구축 실무] - HTTP 로그분석(현황분석/이상징후) HTTP 로그분석(현황분석/이상징후) HTTP Log 환경구성 zeek이 http 로그를 수집하고, 그 로그를 중앙관제서버에 전송합니다. 중앙관제서버는 그 로그들을 로딩해서 저장소도 만들고, source type도 만드는 등의 작업해야합니다. 1. Index 만 psjin230.tistory.com HTTP 네트워크 현황 분석 ● 내부 인트라넷 서비스/인터넷 기반 서비스도 대부분 HTTP로 동작 ● HTTP를 분석 시 목적지가 인터넷인지 인트라넷인지 구분 필요 ● 공격자가 내부망에 침투했다면 중요 데이터의 외부유출을 시도 => 목적지가 인터넷으로 향하는 HTTP 인지 기업내부망으..

  • format_list_bulleted 시스템 운영·구축 실무
  • · 2024. 1. 12.
  • textsms
HTTP 로그분석(현황분석/이상징후)

HTTP 로그분석(현황분석/이상징후)

HTTP Log 환경구성 zeek이 http 로그를 수집하고, 그 로그를 중앙관제서버에 전송합니다. 중앙관제서버는 그 로그들을 로딩해서 저장소도 만들고, source type도 만드는 등의 작업해야 합니다. 1. Index 만들기 1) splunk 접속 : http://127.0.0.1:8000 또는 http://localhost:8000 2) 설정-데이터-인덱스로 이동하여 인덱스 만들기 => 인덱스 이름 : httplog 2. Source Type 지정 1) 설정-데이터-SourceType으로 이동하여 Source Type 만들기 ts,uid,src,spt,dst,dpt,trans_depth,method,domain,uri,referrer,version,user_agent,request_body_len..

  • format_list_bulleted 시스템 운영·구축 실무
  • · 2024. 1. 12.
  • textsms
DNS 이상징후 분석

DNS 이상징후 분석

이전 포스트에 이어서 작성하였습니다. [시스템 보안 및 실무/시스템 운영·구축 실무] - DNS 로그분석(현황분석/이상징후) DNS 로그분석(현황분석/이상징후) 현황분석 - 현재 발생하는 상황을 파악하는 작업 - 우리망에서 이런 일이 있었구나 - 무조건 문제가 있는 것은 아님 - 우리 직원들은 어느 사이트에 많이 접속하는구나를 파악 이상징후 - 평균적 psjin230.tistory.com DNS 이상징후 분석 1. 비정상적인 서브 도메인 길이 2. 비허가 DNS 사용/DNS 터널링 1. 비정상적인 서브 도메인 길이 ● 한국인터넷진흥원의 도메인 관리 원칙 : 도메인명 2~63자 구성 ● 서브도메인은 도메인 소유자가 생성 ● 비정상적인 도메인 길이는 주로 서브도메인을 의미 ● 클라우드서비스(CDN, Cont..

  • format_list_bulleted 시스템 운영·구축 실무
  • · 2024. 1. 11.
  • textsms
DNS 네트워크 현황분석

DNS 네트워크 현황분석

이전 포스트에 이어서 작성하였습니다. [시스템 보안 및 실무/시스템 운영·구축 실무] - DNS 로그분석(현황분석/이상징후) DNS 로그분석(현황분석/이상징후) 현황분석 - 현재 발생하는 상황을 파악하는 작업 - 우리망에서 이런 일이 있었구나 - 무조건 문제가 있는 것은 아님 - 우리 직원들은 어느 사이트에 많이 접속하는구나를 파악 이상징후 - 평균적 psjin230.tistory.com DNS 로그분석 ● DNS 로그는 사용자의 네트워크 접속 행위를 분석하는데 가장 좋은 데이터 소스 ● 내부망 DNS 로그 분석 - 직원들의 접속 패턴을 확인할 때 사용 - 공격자의 악성코드에 감염된 내부 PC가 내부 데이터 획득을 목표로 활동하는 상황을 파악할 수 있음 => 좀비 PC는 악성코드에 감염된 PC로, 이걸 ..

  • format_list_bulleted 시스템 운영·구축 실무
  • · 2024. 1. 11.
  • textsms