처음 만나는 클라우드 보안

이번 포스팅에선 Argus에 대해 알아보고 관련 로그를 통해 감염된 PC를 찾아본다. Argus란? : 대표적인 오픈소스 IDS 중 하나로서 네트워크 보안 모니터링 도구 및 세션 기반 데이터 로깅에 사용된다. 세팅: Argus IDS의 본체는 네트워크 중간에 배치, Argus 콘솔은 사무실에 배치 => Argus IDS Client 설치 1. Argus로그 분석 기초 ra (read argus data)를 이용한 데이터 읽기 => 누가 공격자인지 알아내기 위함 $ ra -r file1 file2 $ ra -r s file1 -s(옵션) 주요 필드명 stime: 시작시간 ltime: 종료시간 sbytes: src ->dst (아웃바운드;유출) dbytes: dst ->src (인바운드;유입) saddr: ..

이번 포스팅에선 리눅스 환경에서 활용되는 로그분석 기본개념에 대해 알아본다. 로그분석은 왜 리눅스인가? 다양한 무료 오픈소스 파이프라인(|)을 통한 분석 툴 조합 용이 쉘 스크립트를 활용한 자동화 분석 가능 윈도우에선 불가한 10G 이상의 대용량 로그도 분석 가능 1. 정규표현식 정규식은 특정 규칙을 가진 문자열의 패턴을 표시하는 언어를 뜻한다. 정규표현식 중에선 PCRE (Perl Compatible Regular Expression) 펄 호환 정규표현식이 대표적이며, 다른 표현식과 표현이 거의 비슷하다. 주로 문자열의 검색과 치환을 지원하기 위해 사용된다. -Wikipedia - 메타문자 정규 표현식에서 사용하는 기호 메타문자 [이름] 설명 예시 ^ [캐럿] 문자열의 시작 '^abc' : abc로 시..

이번 포스팅에선 로그를 분석하여 보안 위협 탐지를 수행한다. 1. awk문을 활용한 로그분석 1) awk문이란? : 파일 속 레코드에 포함된 값을 데이터화해 분석함을 목적으로 하는 프로그램이다. awk명령어의 여러 옵션들로 파일 속 데이터를 분류한 다음 패턴 매칭 여부나 조작 및 연산 등의 기능을 수행하고 그 결과를 출력한다. 이름은 디자인한 사람들의 이니셜을 따왔기 때문에 기능과 연관은 없다. 2) 기본 사용법 $ echo 11 22 33 44 | awk '{print $4, $3, $2, $1}' // echo로 임시 메모리에 저장, 컬럼의 순서를 바꾸어 출력한다. $ cat auth.log | awk '{print$5}' //5번째 칼럼 출력 $ cat auth.log | awk '{print$5}..