![]()
■ 최종 서비스 구현 : WAF에서 특정 이벤트 발생 시, Lambda를 통해 Slack으로 관련 데이터 전송 ■ 준비 과정 1. WEB Server ALB 설정 : https://dobby-isfree.tistory.com/79 최종적으로는 WEB Server에 WAF 설정을 하고 싶었기에, 금번 게시물을 통해 WAF 설정 방법을 알아보도록 하자. WAF(Web Application Firewall)이란? WAF란 AWS DOCS에 나와있는 것처럼 HTTP 또는 HTTPS의 요청을 모니터링할 수 있는 AWS Service이다. https://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/what-is-aws-waf.html 란 무엇입니까?AWS WAF,AW..
![]()
필자는 WAF 테스트를 하고자 하였으나, WAF는 아래와 같이 ALB 구성이 먼저 선행조건이라서 이번 게시물에서는 웹서버를 간단하게 만들고, ALB에 대해 정의하도록 한다. ALB(Application Load Balancer) 란? ALB는 말 그대로 Load Balancer. 즉, 사용자 요청을 적절하게 분배하는 역할을 한다. 필요에 따라 사용자 요청을 Lambda 또는 API Gateway로 전달할 수도 있지만, 필자는 인스턴스로 선택했다. 조금 더 논리적으로 구성도를 그려보면 아래와 같이 된다. 즉, 2개의 WEB Server(이하 A, B 서버) 한번은 A 서버, 한번은 B서버 부하를 분산하는 역할을 한다. ALB(Application Load Balancer) 설정 방법 ALB는 대상 그룹을 ..
![]()
Wazuh는 기본적으로 Wazuh Agent에서 생성 된 로그를 기반으로 Decode/Rule을 통해 이벤트를 탐지한다. 그렇기에 Wazuh Agent에서 어떤 로그를 수집/모니터링 및 분석할지가 중요하다!! Wazuh Server는 Wazuh Agent의 /var/ossec/etc/ossec.conf 하단에 위치한 을 기본으로 수집/모니터링한다. 위에서 볼 수 있듯이 기본적으로 /var/log 위치의 로그를 수집/분석한다. 그렇다면, 기본 경로의 파일 외 내가 원하는 로그 파일을 수집하고자 할 때는 어떻게 할 수 있을까? 아래 Wazuh Document에 나와있지만, 조금 알아보기가 어려워서 나름 정리해보았다. 작동 방식 - 데이터 수집 기록 · 와즈 문서 (wazuh.com) How it works ..
![]()
힘들게.. 힘들게.. Wauzh Agent/Server 그리고 ElasticSearch를 연동하였다. 그리고 SSH 접속, Sudo 등의 몇가지 테스트한 결과 아래의 이벤트를 얻을 수 있었다. 이전 게시물을 통해 어떤 방식으로 Wazuh Agent와 Wazuh Server가 구성되는지 알아보았다. [Wazuh] Wazuh란? 구성 및 개념도[1/2] :: 하다 보면 늘어나는 업무 지식 (tistory.com) [Wazuh] Wazuh란? 구성 및 개념도[1/2] Wazuh란? Wazuh는 클라우드, 컨테이너, 서버를 보호하기 위한 오픈소스 플랫폼의 서비스이다. 즉, 잘만 사용하면 여느 유료 솔루션 부럽지 않은 Server H-IDS 유형의 오픈소스 솔루션이다. 로그 데이터 dobby-isfree.tist..
![]()
Python을 활용한 업무의 일부를 공유하는 게시물입니다. 아직 공부하는 입장이기에 부족한 부분이 있을 수 있습니다. 지적해주시면 적극 반영하도록 하겠습니다. 퍼가시거나, 업무에서 도움이 되었다면 댓글 하나씩 부탁드립니다 :) 감사합니다. Summary 어떤 파일이 있을 때, 해당 파일의 악성/정상 유무를 확인하기 가장 손 쉬운 방법은 VirusTotal에 MD5 기준으로 질의하는 것이다. 하지만, 확인해야되는 파일 개수가 너무 많으면 사람이 처리할 수 없고, 이때 VirusTotal API를 사용하면 아주아주 편하다. EXE 파일로 변환하면 아래와 같은 과정으로 File Hash를 읽고, 이를 통해 악성코드 유/무를 확인한다. 1. 특정 경로에 위치한 txt 파일을 불러오기 2. 해당 txt 파일에서 ..
![]()
1편을 이어서, 이번에는 Wazuh와 ElasticSearch 간의 데이터 연동을 알아보자! 앞편에서 설명했듯이, Wazuh는 기본적으로 Elasticsearch + Kibana와 연동을 기본으로 한다. 2. Wazuh Server ↔ Elastic Server(정확히는 ElasticSearch와 연동) 결론부터 말하면, Wazuh Server에 설치되어 있는 Filebeat를 통해 Elastic Server로 데이터를 전달한다. 위 그림과 같이 Wazuh Server에서 Filebeat가 실행되고 있음을 알 수 있다. /etc/filebeat/filebeat.yml 파일을 참조하여 시행되며, 해당 파일에는 Filebeat로 전달할 데이터와 ES 정보가 담겨있다. 위 설정을 보면 알 수 있듯이, File..
![]()
Wazuh란? Wazuh는 클라우드, 컨테이너, 서버를 보호하기 위한 오픈소스 플랫폼의 서비스이다. 즉, 잘만 사용하면 여느 유료 솔루션 부럽지 않은 Server H-IDS 유형의 오픈소스 솔루션이다. 로그 데이터 분석, 악성코드 탐지/침입 방지, 파일 무결성 모니터링, 취약점 진단/규정 준수와 같은 다양한 기능을 제공한다. > 공식홈페이지에 나와있는 내용을 발췌하면, 아래 파란색 음영처리 된 문구가 Wazuh에서 제공중인 기능이다. 기본적으로 Wazuh Agent - Wazuh Server로 구성되어 있으며, 필요에 따라 Elasticsearch와 연동하여 사용한다. - 공식홈페이지에서 ES가 기본 전제로 가이드되어 있다. Build the Wazuh Lab VPC - Prepare your Wazuh..
![]()
지금 현재 Wazuh 에이전트 테스트를 하기 위해서 AWS에 t2.micro Instance를 생성해서 진행중이다. Wazuh 가이드에는 t2.large 이상을 권고하고 있는데, large는 서비스 요금이 비싸니까.. 필자는 t2.micro로 테스트 중이다. - 사실 뭐 테스트 서버가 많은것도 아니고, 로그가 많을거 같지도 않아서 저렴한 Instance를 사용한다ㅋㅋ 가이드에서 ElasticSearch를 설치하고, 실행하는 과정이 있는데 실행이 안되는 문제가 발생했다!! systemctl status로 Elasticsearch 상태를 보니 Memory Commit 에러가 발생한 다음에 구동에 실패했다. 그리고 free -h로 보니, 사용 가능한 Memory가 400MB밖에 안된다.. Swap Memory..
![]()
Adding Security into DevOps (awssecworkshops.com) Adding Security into DevOps Overview Welcome to the world of DevSecOps! You have heard of DevOps. Nowadays, DevSecOps is becoming more popular. How can Security organizations enable developers build security into their products and services? In this workshop, you will experience how devops.awssecworkshops.com 이번에는 개발환경에서의 보안을 알아보는 workshop이다. 통상 ..
