HTTP 이상징후 분석

HTTP 이상징후 분석

이전 포스트에 이어 작성하였습니다. [시스템 보안 및 실무/시스템 운영·구축 실무] - HTTP 로그분석(현황분석/이상징후) HTTP 로그분석(현황분석/이상징후) HTTP Log 환경구성 zeek이 http 로그를 수집하고, 그 로그를 중앙관제서버에 전송합니다. 중앙관제서버는 그 로그들을 로딩해서 저장소도 만들고, source type도 만드는 등의 작업해야합니다. 1. Index 만 psjin230.tistory.com HTTP 이상징후 분석 1. 비정상 메소드 사용 2. 외부행 데이터 전송 3. Mime-type과 파일 확장자 불일치 4. 사이트 이동 후 실행파일 다운로드 5. 프록시 서버 접속 1. 비정상 메소드 사용 ● Head, Delete, Trace, Option과 같은 메소드가 네트워크에서..

  • format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
  • · 2024. 1. 12.
  • textsms
HTTP 네트워크 현황분석

HTTP 네트워크 현황분석

이전 포스트에 이어서 작성하였습니다. [시스템 보안 및 실무/시스템 운영·구축 실무] - HTTP 로그분석(현황분석/이상징후) HTTP 로그분석(현황분석/이상징후) HTTP Log 환경구성 zeek이 http 로그를 수집하고, 그 로그를 중앙관제서버에 전송합니다. 중앙관제서버는 그 로그들을 로딩해서 저장소도 만들고, source type도 만드는 등의 작업해야합니다. 1. Index 만 psjin230.tistory.com HTTP 네트워크 현황 분석 ● 내부 인트라넷 서비스/인터넷 기반 서비스도 대부분 HTTP로 동작 ● HTTP를 분석 시 목적지가 인터넷인지 인트라넷인지 구분 필요 ● 공격자가 내부망에 침투했다면 중요 데이터의 외부유출을 시도 => 목적지가 인터넷으로 향하는 HTTP 인지 기업내부망으..

  • format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
  • · 2024. 1. 12.
  • textsms
HTTP 로그분석(현황분석/이상징후)

HTTP 로그분석(현황분석/이상징후)

HTTP Log 환경구성 zeek이 http 로그를 수집하고, 그 로그를 중앙관제서버에 전송합니다. 중앙관제서버는 그 로그들을 로딩해서 저장소도 만들고, source type도 만드는 등의 작업해야 합니다. 1. Index 만들기 1) splunk 접속 : http://127.0.0.1:8000 또는 http://localhost:8000 2) 설정-데이터-인덱스로 이동하여 인덱스 만들기 => 인덱스 이름 : httplog 2. Source Type 지정 1) 설정-데이터-SourceType으로 이동하여 Source Type 만들기 ts,uid,src,spt,dst,dpt,trans_depth,method,domain,uri,referrer,version,user_agent,request_body_len..

  • format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
  • · 2024. 1. 12.
  • textsms
DNS 이상징후 분석

DNS 이상징후 분석

이전 포스트에 이어서 작성하였습니다. [시스템 보안 및 실무/시스템 운영·구축 실무] - DNS 로그분석(현황분석/이상징후) DNS 로그분석(현황분석/이상징후) 현황분석 - 현재 발생하는 상황을 파악하는 작업 - 우리망에서 이런 일이 있었구나 - 무조건 문제가 있는 것은 아님 - 우리 직원들은 어느 사이트에 많이 접속하는구나를 파악 이상징후 - 평균적 psjin230.tistory.com DNS 이상징후 분석 1. 비정상적인 서브 도메인 길이 2. 비허가 DNS 사용/DNS 터널링 1. 비정상적인 서브 도메인 길이 ● 한국인터넷진흥원의 도메인 관리 원칙 : 도메인명 2~63자 구성 ● 서브도메인은 도메인 소유자가 생성 ● 비정상적인 도메인 길이는 주로 서브도메인을 의미 ● 클라우드서비스(CDN, Cont..

  • format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
  • · 2024. 1. 11.
  • textsms
DNS 네트워크 현황분석

DNS 네트워크 현황분석

이전 포스트에 이어서 작성하였습니다. [시스템 보안 및 실무/시스템 운영·구축 실무] - DNS 로그분석(현황분석/이상징후) DNS 로그분석(현황분석/이상징후) 현황분석 - 현재 발생하는 상황을 파악하는 작업 - 우리망에서 이런 일이 있었구나 - 무조건 문제가 있는 것은 아님 - 우리 직원들은 어느 사이트에 많이 접속하는구나를 파악 이상징후 - 평균적 psjin230.tistory.com DNS 로그분석 ● DNS 로그는 사용자의 네트워크 접속 행위를 분석하는데 가장 좋은 데이터 소스 ● 내부망 DNS 로그 분석 - 직원들의 접속 패턴을 확인할 때 사용 - 공격자의 악성코드에 감염된 내부 PC가 내부 데이터 획득을 목표로 활동하는 상황을 파악할 수 있음 => 좀비 PC는 악성코드에 감염된 PC로, 이걸 ..

  • format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
  • · 2024. 1. 11.
  • textsms
DNS 로그분석(현황분석/이상징후)

DNS 로그분석(현황분석/이상징후)

현황분석- 현재 발생하는 상황을 파악하는 작업- 우리 망에서 이런 일이 있었구나- 무조건 문제가 있는 것은 아님- 우리 직원들은 어느 사이트에 많이 접속하는구나를 파악 이상징후- 평균적인 상황을 파악하다가 이상징후가 포착이 되면 관리자/침해대응팀에게 알림- 현황분석을 해서 문제가 없을 수도 있고, 그중 이상징후를 탐지할 수도 있음DNS Log 환경구성=> ZeekIDS는 우리망에 떠돌아다니는 네트워크 로그들을 수집하여 저장, 이것을 중앙관제에 scp를 사용하여 넘겨줌시나리오 : Zeek을 통해 DNS Log를 압축하여 중앙관제서버에게 넘겨줍니다. 중앙관제서버 입장에서는 sample_log/dns/dns.zip을 넘겨받은 것입니다. 중앙관제서버는 Splunk에 해당 로그를 로딩합니다.(splunk에 로그 ..

  • format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
  • · 2024. 1. 11.
  • textsms
Splunk 명령어

Splunk 명령어

Splunk 검색 명령어데이터 나열, 변환table, rename, fields, dedup통계 계산stats, top, rare, len(x)차트 시각화timechart, chart비교분석eval, case, cidrmatch, if, like, match다중문자열과 시간mvindex, split, substr, round, ruldecode, strftime, strptime, now차트 시각화 명령어는 로그들이 텍스트로 되어 있기 때문에, visual 하게 보는 것이 로그에 대한 이해도를 높일 수 있기에 사용하는 명령어로, 보고서 쓸 때나 대시보드 구성할 때 많이 사용함 Splunk 검색 실습검색하려고 할 때, 먼저 시간을 체크(전체시간으로 설정)검색창에 필드명을 정확히 모를땐 키워드만 입력해도 충..

  • format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
  • · 2024. 1. 11.
  • textsms
Splunk 설치(+SIEM 설명)

Splunk 설치(+SIEM 설명)

SIEM[이전 포스팅 참고][시스템 보안 및 실무/시스템 운영·구축 실무] - Management Solution : NMS, SMS, ESM, SIEM + TAP Management Solution : NMS, SMS, ESM, SIEM + TAPNMS(Network Management System, 네트워크 관리시스템) 기관이 정한 요구사항을 만족하기 위해 네트워크 장비를 관리하는 시스템 - L3 Switch, L2 Switch, VPN, FW ...을 관리 - 네트워크 장비로부터 로그를 받아서psjin230.tistory.com- ESM의 확장버전- 다양한 이기종 장비에서 발생하는 로그를 통합 수집하고 분석- 보고서 생성**IDS랑 뭐가 다를까? => IDS는 탐지룰을 만들어 룰에 맞는 것들만 탐지..

  • format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
  • · 2024. 1. 11.
  • textsms