호의호식 블로그

교내 정보전산원에서 ECSC 정보보호 보조업무를 할 수 있는 기회를 얻어 현재 교내 근로 중이다.  CERT 업무 중 탐지한 위협을 위험도 (매우낮음, 낮음, 보통, 위험, 매우위험) 이렇게 분류함을 알게 되었고, 이게 어떤 기준으로 적용하는지 궁금해서 찾아보고, 대응 방법 역시 적용할 수 있다면 이번 AWS 침해사고대응 프로젝트에 활용할 수 있을것 같다.위험도내부 자원 위험도파괴 유출 지연 잠복 침입시도 MD5 기타  탐지규칙 개발할때 그 점수를 매긴다침입시도 낮음 서버웹해킹 높음  전체IP대역(유선), 전체IP대역(무선), WEB 서버, 내부 응용 서버, DB서버, 패치 서버, 네트워크, 보안, 업무용pc, 비업무용pc, 기타  전체IP대역(유선), 전체IP대역(무선), WEB 서버, 내부 응용 서버..

이 글 바로 이전에 WAF에 대해 설명하면서, WAF 의 규칙을 통과한 기록과, 통과에 실패한 기록 두가지 모두를 살펴보았다. 프로젝트를 진행하면서 해당 규칙으로 WAF를 걸고 실행을 하였는데, 리젼에 따른 제한을 이전에는 두지 않았었고, 다양한 국적의 사람들이 로드밸런서를 통해서 들어왔다고 했다. 그런데 로드밸런서가 무엇인지 몰랐고, 이 내용을 정리해서 공부하고자 한다. 로드 밸런싱이란 로드 밸런싱이란 말 그대로 서버가 처리해야 할 업무 혹은 요청(Load)을 여러 대의 서버로 나누어(Balancing) 처리하는 것을 의미한다. 한 대의 서버로 부하가 집중되지 않도록 트래픽을 관리해 각각의 서버가 최적의 퍼포먼스를 보일 수 있도록 하는 것이 목적이다.서비스의 규모가 커지고, 이용자 수가 늘어나게 되면 ..

앞서 말했던 클라우드 시나리오 뿐만 아니라, 웹 서버에서의 침해 사고 시나리오 제작을 위해서, 네트워크에 WAF를 설정하여 이벤트를 검출하고자 한다.  WAF에 대해서 알아보자. WAF는 Web Application Firewall 즉 웹 어플리케이션 방화벽이다. HTTP/HTTPS 요청을 검사하여 악의적인 트래픽을 필터링 하는데, 웹 애플리케이션 앞에 배치되어 웹 트래픽을 모니터링하고, 사전에 정의된 규칙을 기반으로 악의적인 트래픽을 차단한다. Web ACL (Web Access Control List):정의: WAF에서 적용할 규칙들을 모아 놓은 리스트로, 웹 애플리케이션에 대한 접근 제어 정책을 정의구성: Web ACL은 하나 이상의 규칙(rule)과 규칙 그룹(rule group)으로 구성규칙(r..

CloudTrail의 기본 로그 형식과 예에 대해 조금 더 알아보자. https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-examples.html CloudTrail log file examples - AWS CloudTrailCloudTrail log file examples CloudTrail monitors events for your account. If you create a trail, it delivers those events as log files to your Amazon S3 bucket. If you create an event data store in CloudTrail Lake, events..

클라우드의 경우각 AWS 계정의 CloudTrail log를 CloudWatch Logs로 전송CloudWatch Logs에 log stream이 전송되면, 트리거로 Lambda 함수를 호출 하면서, parameter값으로 cloudtrail log를 전달호출된 Lambda 함수는 cloudtrail log를 argument로 해서, ElasticSearch의 JSON 포맷에 맞춰 parsing여러개의 계정에서 수집되고 parsing된 cloudtrail log는 하나의 ElasticSearch로 HTTPS를 사용하여 전송수집된 cloudtrail log를 분석하여 탐지를 실행 ,, (아직 Lambda 파트는 이해가 안된거 같다.)  웹의 경우  vpc flowlog랑 elb log 활용예정이다   무튼..

클라우드상 SIEM을 이용한 초기 침해대응 자동화 프로세스를 목표로 현재 진행 중인 프로젝트.소규모 프로젝트나 중소기업에게 클라우드 환경에서의 침해대응 프로세스 제공이 목표이다.  사실 프로젝트를 시작한지는 시간이 꽤 흘렀는데, 프로젝트를 하면서 그냥 흘러가면서 놓치는 내용도 많은 것 같아서,정리도 하고 여러가지 다른 포렌식 공부하는 것도 여기에 써보려고 한다.