SKS 공부 - 2026-01-23
SKS 홈으로61회차 공부
한줄요약:
-
보안 관제 - **"다양한 플랫폼(Win/Linux)의 로그를 실시간 수집하고, 공격 시나리오 기반의 통계 분석(SPL)을 수행하며, Wazuh와 같은 통합 보안 솔루션으로 엔드포인트 보안 가시성을 확장하는 통합 관제 기술을 학습했습니다."**
오늘 공부한 내용:
- --- ## 1. 공격 시뮬레이션 및 데이터 확보 분석할 데이터가 있어야 분석 시스템도 의미가 있습니다. 작성하신 세 가지 공격 코드는 보안 관제에서 매우 중요한 시나리오를 담고 있습니다. * **코드 1 (Brute-force/Flooding):** 대량의 요청을 통해 가용성을 확인하고 Nginx 로그를 폭증시킴. * **코드 2 (Directory Scanning):** `/.env`, `/admin` 등 민감한 경로를 탐색하는 행위로, Splunk에서 `status=404` 통계로 잡아내기 좋은 시나리오. * **코드 3 (Web Vulnerability):** **SQL Injection**, **XSS**, **LFI** 패턴을 포함하여 IDS(Snort)나 Splunk에서 문자열 기반 탐지 연습에 최적. --- ## 2. Splunk 실전 쿼리(SPL) 핵심 전략 작성하신 쿼리들은 보안 실무에서 즉시 활용 가능한 **'시그니처 기반 탐지'** 쿼리들입니다. | 분석 대상 | 핵심 쿼리 기법 | 보안적 의미 | | --- | --- | --- | | **HTTP 상태 코드** | `stats count by status` | 4xx/5xx 에러 급증 시 공격 스캔 또는 시스템 장애 판단 | | **URI/IP 통계** | `top limit=20 clientip` | 특정 IP의 과도한 접근(DoS/Scanner) 식별 | | **공격 시그니처** | `("union select" OR "etc/passwd"...)` | 웹 취약점 공격 시도 실시간 탐지 | | **SSH 무차별 대입** | `rex "from (?<src_ip>...)"` | 정규표현식(`rex`)을 사용해 비정형 로그에서 공격자 IP 추출 | --- ## 3. Windows 보안 관제 (Universal Forwarder) 리눅스뿐만 아니라 윈도우의 **이벤트 로그(EventLog)**를 수집하는 것도 필수입니다. 특히 칼리에서 `xfreerdp3`로 시도한 RDP 공격 흔적을 추적하는 실습이 인상적입니다. * **EventCode 4625:** 로그인 실패 (무차별 대입 공격 확인의 핵심) * **EventCode 4673:** 민감한 권한 서비스 호출 (권한 상승 시도 확인) * **Checkpoint:** 윈도우 포워더의 `inputs.conf`에서 `index`와 `Security` 로그 설정을 통해 전사적 가시성을 확보함. --- ## 4. Wazuh: 차세대 HIDS/SIEM 통합 마지막으로 학습하신 **Wazuh**는 현대적인 보안 관제 센터(SOC)에서 가장 선호하는 오픈소스 솔루션입니다. * **특징:** 단순 로그 수집을 넘어 **취약점 스캐닝, 무결성 모니터링(FIM), 침해사고 대응** 기능을 통합 제공. * **환경 구축:** IaC(Terraform, Ansible) 개념을 인지하고 호스트명 중복 방지, IP 고정 등 인프라 기초 설정을 탄탄히 하셨습니다. * **Sysmon 연동:** 윈도우에서 기본 로그보다 더 상세한(프로세스 생성, 네트워크 연결 등) 정보를 추출하기 위한 필수 단계입니다. ---