[카테고리:] IT 시스템 운영 이야기

  • IPS, IDS 차이점과 특징은 무엇일까요?

    이번 글에서는 보안 실무 분야에서 가장 중요한 IDS와 IPS가 무엇인지? 또한, 각각 보안장비의 특징과 차이점은 어떤것들이 있는지 자세하게 들여다 보도록 하겠습니다. 이 두가지 보안장비는 정보보안기사에서도 자주 다루어지는 내용으로 실세 시험 문제로도 많이 출제되는 매우 중요한 내용이니 참고하시면 도움이 될것입니다.   IPS란? IPS(침입 방지 시스템, Intrusion Prevention System)란 네트워크나 시스템 상에서 발생되는 불법적인 접근이나 해킹 시도를…

  • Elasticsearch 고도화 및 성능 최적화 사례

    저희 회사에서 발생하는 모든 보안 관련 데이터는 엘라스틱스택을 통해 수집 및 분석되고 있습니다. 일일 평균 로그량은 이벤트 수 기준으로 평일에는 약 5억 건 정도이며, 서비스는 계속 추가되고 있고 보안 로그는 지속적으로 증가하고 있는 상황이라 SIEM의 고도화가 필요했습니다. 이러한 환경에서 엘라스틱 스택을 확장하거나 축소하여 사용할 수 있는 방법에 대해 소개해드리겠습니다. 현재 저희 회사의 가장 큰 고민거리는…

  • Elasticsearch 8.5 버전 SIEM 활용시 성능 최적화 설정

    회사의 모든 서비스에 대한 보안 로그를 엘라스틱서치에 저장해서. 현재 SIEM을 이용하여 운영하고 있습니다. 로그 이벤트가 계속 증가함에 따라 데이터 저장소의 용량을 늘려야 할 필요성이 생겼습니다.   이에 기존에 사용하던 elasticsearch 7.6 버전에서 업그레이드된 elasticsearch 8.5 버전을 새로 설치하였습니다. 프로그램을 설치하는 방법과 사용 시 주의해야 할 점 등을 알려드리겠습니다. 엘라스틱서치 패키지를 설치하는 방법은 따로 설명하지 않겠습니다.…

  • Windows 10 Kali Linux 설치 2가지 방법

    윈도우10에서 Kali Linux를 설치하는 방법은 크게 두 가지가 있습니다. 하나는 가상 머신(Virtual Machine)을 이용하는 방법이고, 다른 하나는 WSL(Windows Subsystem for Linux)을 이용하는 방법입니다. 두가지중 필자의 경우 개인적으로 WSL을 이용하여 설치하는것이 더 편하고 향후 운영적인 여러가지 측면에서 장점이 많다고 생각됩니다. 선호하는 형태로 설치하시면 됩니다.     가상 머신을 이용한 설치 방법   가상 머신을 이용한 설치…

  • Windows 10 WSL2(Linux용 윈도우 하위 시스템) 설치하는 방법

    Linux용 Windows 하위 시스템(WSL2)은 이제 다양한 개선 사항을 통해 Windows 10에서 사용할 수 있습니다. 설치하는 방법과 사용하는 방법에 대해서 설명 드리겠습니다. 차근차근 순서대로 진행하시면 큰 어려움은 없을것입니다.   핵심 요약   Windows 10에 WSL2를 설치하려면 관리자 권한으로 명령 프롬프트를 열고 wsl –install 입력후 실행 합니다. 상기 명령은 모든 WSL2 구성 요소와 Ubuntu Linux 배포판을 설치하는…

  • Elasticsearch 보안위협탐지 SIEM 활용 사례

    현재 재직중인 보안팀에서는 SIEM 기능으로 elasticsearch를 사용하고 있습니다. elasticsearch는 다양한 이기종 보안 로그를 한 곳으로 통합하여 인덱싱하여 SIEM(로그통합솔루션)으로 활용할수있습니다. 특히, 실시간 보안 위협으로부터 수십 수 만 건에 달하는 보안 이벤트에 대해 중요한 보안 로그 이벤트를 elasticsearch query를 통해 중요도 우선 순위를 정하여 필터 할 수 있는데요 whatcher나 혹은 elktail과 같은 오픈소스를 접목하여 보안 위협 이벤트에…

  • 보안 위협 탐지 이벤트 Logstash Filter 적용 예제 – 2편

    엘라스틱서치를 이용하여 전사 보안 장비들의 모든 로그를 수집중에 있습니다. 이기종 다양한 벤더들의 로그를 엘라스틱 스택에 저장하기 위해서는 로그 수집 전처리 과정에서 filter를 통해 중요한 필드들이 누락되지 않도록 커스터마이징을 해야합니다.   상단 보안 장비중 APT, WAF, IPS등 다양한 보안 장비를 운영중입니다.  다양한 이기종 벤더 보안 장비를 통해 발생하는 로그는 하루에도 수천~수만 건 발생합니다. 정말 중요한 보안…

  • 보안 위협 탐지 이벤트 Logstash Filter 적용 예제 – 1편

    현재 재직 중인 회사에서는 수많은 보안장비와 보안 솔루션의 전체 로그를 Elastic Stack 으로 저장하여 보관중입니다. Elastic을 SIEM 으로 활용하고있습니다. 다양한 여러 이기종 벤더이 보안 로그를 Elasticsearch 플랫폼으로 통합 저장 시 전처리 부분 Logstash 서버에서 Parsing이 정상적으로 되야 보안로그가 최종적으로 엘라스틱 스택에 저장 보관되는것입니다.   벤더별 수많은 보안 장비 Syslog 형태는 모두 다르며, logstash 서버에서 filter…