![]()
Gophish 라는 아주아주 좋은 악성메일 모의훈련을 할 수 있는 Tool이 있어서, 오늘은 해당 Tool에 대해 소개를 하고자 한다. Gophish 설치 방법 1. 공식 Github를 통해 설치하는 서버 또는 단말기에 해당하는 Gophish 파일을 다운로드하고 압축해제 한다. - 공식 Github : https://github.com/gophish/gophish/releases wget https://github.com/gophish/gophish/releases/download/v0.11.0/gophish-v0.11.0-linux-64bit.zip unzip gophish-v0.11.0-linux-64bit.zip 2. 압축해제 이후, config.json에서 Gophish 관리자 페이지에 접속할 수..
![]()
Wazuh는 기본적으로 Wazuh Agent에서 생성 된 로그를 기반으로 Decode/Rule을 통해 이벤트를 탐지한다. 그렇기에 Wazuh Agent에서 어떤 로그를 수집/모니터링 및 분석할지가 중요하다!! Wazuh Server는 Wazuh Agent의 /var/ossec/etc/ossec.conf 하단에 위치한 을 기본으로 수집/모니터링한다. 위에서 볼 수 있듯이 기본적으로 /var/log 위치의 로그를 수집/분석한다. 그렇다면, 기본 경로의 파일 외 내가 원하는 로그 파일을 수집하고자 할 때는 어떻게 할 수 있을까? 아래 Wazuh Document에 나와있지만, 조금 알아보기가 어려워서 나름 정리해보았다. 작동 방식 - 데이터 수집 기록 · 와즈 문서 (wazuh.com) How it works ..
![]()
힘들게.. 힘들게.. Wauzh Agent/Server 그리고 ElasticSearch를 연동하였다. 그리고 SSH 접속, Sudo 등의 몇가지 테스트한 결과 아래의 이벤트를 얻을 수 있었다. 이전 게시물을 통해 어떤 방식으로 Wazuh Agent와 Wazuh Server가 구성되는지 알아보았다. [Wazuh] Wazuh란? 구성 및 개념도[1/2] :: 하다 보면 늘어나는 업무 지식 (tistory.com) [Wazuh] Wazuh란? 구성 및 개념도[1/2] Wazuh란? Wazuh는 클라우드, 컨테이너, 서버를 보호하기 위한 오픈소스 플랫폼의 서비스이다. 즉, 잘만 사용하면 여느 유료 솔루션 부럽지 않은 Server H-IDS 유형의 오픈소스 솔루션이다. 로그 데이터 dobby-isfree.tist..
![]()
1편을 이어서, 이번에는 Wazuh와 ElasticSearch 간의 데이터 연동을 알아보자! 앞편에서 설명했듯이, Wazuh는 기본적으로 Elasticsearch + Kibana와 연동을 기본으로 한다. 2. Wazuh Server ↔ Elastic Server(정확히는 ElasticSearch와 연동) 결론부터 말하면, Wazuh Server에 설치되어 있는 Filebeat를 통해 Elastic Server로 데이터를 전달한다. 위 그림과 같이 Wazuh Server에서 Filebeat가 실행되고 있음을 알 수 있다. /etc/filebeat/filebeat.yml 파일을 참조하여 시행되며, 해당 파일에는 Filebeat로 전달할 데이터와 ES 정보가 담겨있다. 위 설정을 보면 알 수 있듯이, File..
![]()
Wazuh란? Wazuh는 클라우드, 컨테이너, 서버를 보호하기 위한 오픈소스 플랫폼의 서비스이다. 즉, 잘만 사용하면 여느 유료 솔루션 부럽지 않은 Server H-IDS 유형의 오픈소스 솔루션이다. 로그 데이터 분석, 악성코드 탐지/침입 방지, 파일 무결성 모니터링, 취약점 진단/규정 준수와 같은 다양한 기능을 제공한다. > 공식홈페이지에 나와있는 내용을 발췌하면, 아래 파란색 음영처리 된 문구가 Wazuh에서 제공중인 기능이다. 기본적으로 Wazuh Agent - Wazuh Server로 구성되어 있으며, 필요에 따라 Elasticsearch와 연동하여 사용한다. - 공식홈페이지에서 ES가 기본 전제로 가이드되어 있다. Build the Wazuh Lab VPC - Prepare your Wazuh..
