Endpoint zeek이 우리망 내에 떠도는 로그들을 수집하여 중앙관제서버(SplunkServer)로 넘겨줍니다. 중앙관제서버는 그 로그들을 분석합니다(http, dns, ...). WebServer에서 발생하는 트래픽 또한 zeek이 받아서 중앙관제서버로 넘겨줍니다. => **마지막으로 Sysmon!!** 그림에서 ZeekIDS, WebServer, Sysmon과 같은 것들을 endpoint라고 하는데, 밑에 더이상 부착되는 시스템이 없는 마지막 지점이라고 해서 endpoint 라고 합니다. endpoint는 서버보다는 클라이언트 PC를 의미하는 경우가 많습니다. 요즘 서버들은 리눅스 베이스로 설치되어 있는데, 직원들이 사용하는 PC들은 윈도우인 경우가 많습니다. 우리 직원들이 사용하고 있는 PC에서..
이전 포스트에 이어 작성하였습니다. [시스템 보안 및 실무/시스템 운영·구축 실무] - HTTP 로그분석(현황분석/이상징후) HTTP 로그분석(현황분석/이상징후) HTTP Log 환경구성 zeek이 http 로그를 수집하고, 그 로그를 중앙관제서버에 전송합니다. 중앙관제서버는 그 로그들을 로딩해서 저장소도 만들고, source type도 만드는 등의 작업해야합니다. 1. Index 만 psjin230.tistory.com HTTP 이상징후 분석 1. 비정상 메소드 사용 2. 외부행 데이터 전송 3. Mime-type과 파일 확장자 불일치 4. 사이트 이동 후 실행파일 다운로드 5. 프록시 서버 접속 1. 비정상 메소드 사용 ● Head, Delete, Trace, Option과 같은 메소드가 네트워크에서..
이전 포스트에 이어서 작성하였습니다. [시스템 보안 및 실무/시스템 운영·구축 실무] - DNS 로그분석(현황분석/이상징후) DNS 로그분석(현황분석/이상징후) 현황분석 - 현재 발생하는 상황을 파악하는 작업 - 우리망에서 이런 일이 있었구나 - 무조건 문제가 있는 것은 아님 - 우리 직원들은 어느 사이트에 많이 접속하는구나를 파악 이상징후 - 평균적 psjin230.tistory.com DNS 이상징후 분석 1. 비정상적인 서브 도메인 길이 2. 비허가 DNS 사용/DNS 터널링 1. 비정상적인 서브 도메인 길이 ● 한국인터넷진흥원의 도메인 관리 원칙 : 도메인명 2~63자 구성 ● 서브도메인은 도메인 소유자가 생성 ● 비정상적인 도메인 길이는 주로 서브도메인을 의미 ● 클라우드서비스(CDN, Cont..