오늘 공부한 내용
오늘 공부한 내용:
- --- ## 1. Wazuh의 핵심: 통합 가시성 확보 Wazuh는 단순히 로그를 모으는 '바구니'가 아니라, 들어온 로그를 실시간으로 분석하여 **"이것은 공격이다"**라고 판단하는 '분석 엔진'입니다. * **ELK 스택의 활용:** * **Elasticsearch**는 방대한 로그 속에서 특정 공격자의 IP나 파일 이름을 1초 안에 찾아냅니다. * **Filebeat**는 각 에이전트에서 발생한 로그를 쪼개서 서버로 안전하게 배달합니다. * **Agentless의 실무적 가치:** * 보안 에이전트를 설치할 수 없는 구형 서버나 네트워크 스위치, 혹은 중요도가 너무 높아 함부로 소프트웨어를 설치하면 안 되는 장비들을 **SSH 접속**만으로 감시할 수 있게 해줍니다. * `ls -al /`나 `tail /etc/shadow` 명령어를 주기적으로 실행해 결과값의 **차이(diff)**를 분석함으로써, 관리자 몰래 추가된 계정이나 권한 변경을 즉각 잡아냅니다. --- ## 2. Sysmon: 윈도우 보안의 '블랙박스' 윈도우 기본 이벤트 로그는 "누가 들어왔다"는 기록 위주라 공격자의 구체적인 행위를 알기 어렵습니다. 이때 **Sysmon**이 해결사 역할을 합니다. * **프로세스 추적 (Event ID 1):** * 단순히 `cmd.exe`가 실행된 것뿐만 아니라, 그 뒤에 붙은 인자값(예: `cmd.exe /c certutil -urlcache ...`)을 모두 기록합니다. 이는 공격자가 외부에서 악성코드를 다운로드하는 행위를 탐지하는 결정적 증거가 됩니다. * **네트워크 연결 (Event ID 3):** * 어떤 프로세스가 외부의 어느 IP와 통신하는지 기록합니다. 내부 시스템이 해커의 C2 서버와 통신하는 '비콘(Beaconing)' 행위를 찾아낼 수 있습니다. * **해시값 로깅:** * 실행되는 모든 파일의 **SHA-256 해시**를 찍습니다. 이 해시값을 통해 해당 파일이 알려진 악성코드인지 즉시 판별할 수 있습니다. --- ## 3. 커스텀 룰(Local Rules)과 위협 헌팅 로그를 수집했다면, 이제 **'알람 기준'**을 세워야 합니다. 이것이 `local_rules.xml`의 역할입니다. * **탐지 레벨 설정:** Wazuh는 0~15단계의 레벨을 가집니다. 일반적인 접속은 낮은 레벨로, `/etc/passwd` 접근이나 연속된 로그인 실패는 높은 레벨로 설정하여 분석가가 우선순위를 정해 대응하게 합니다. * **상관분석 (Correlation):** * "A라는 IP가 SSH 로그인을 5번 실패(sid: 5716)하고, 6번째에 성공했다면 알람을 울려라"와 같은 복합적인 시나리오를 룰로 정의할 수 있습니다. * **Sysmon XML 설정의 의미:** * 실습에서 `sysmon.xml`을 수정하신 것은 "모든 것을 다 찍으면 시스템이 느려지니, 내가 관심 있는 공격 패턴(ping, net user 등)만 골라서 찍겠다"는 **최적화 작업**입니다. ---