전체 글15 Filebeat를 이용한 웹서버 로그 분석 사례 침해사고 분석을 진행하다보면 로그를 주의 깊게 살펴봐야할 상황이 많습니다. 특히 웹쉘 감염등으로 인해 서버가 침해를 당했을때 웹서버 로그를 분석해야하는데요. 예를들어 웹서버의 경우는 Apache, Nginx, IIS등 다양한 웹 어플리케이션이 서비스 중이며 기록되는 로그 포맷은 모두 다릅니다. 즉, 웹서버 로그 분석시 로그 파일을 수집이나 취합하여 좀더 쉽게 로그 분석을 할수 있는 방법에 대해 실제 실무에서는 어떤 방법으로 진행하는지 소개해 드리도록 하겠습니다. 결론부터 이야기 하자면, 제가 근무하는 보안팀에서는 filebeat라는 ELK 스택 Beat 에이전트를 사용하여 이기종 로그를 수집하여 Elastic에 색인하여 로그 분석을 진행하고 있습니다. Filebeat란? Elastic Stack의 Bea.. 서버 네트워크 이야기 2025. 4. 5. 더보기 ›› 엘라스틱서치(Elastic) 성능 최적화 이렇게하세요 제가 근무중인 회사의 정보 보안팀에서는 전체 서비스의 보안 로그를 Elasticsearch로 색인하여 SIEM(보안 정보 이벤트 관리) 시스템을 운영 중입니다. 하지만, 로그 이벤트가 점점 증가하면서 시스템 확장이 필요해져 새로운 Elasticsearch 버전을 설치하기로 결정했습니다. 이번 포스팅에서는 설치 과정과 주요 구성 설정에 대해 정리해보았습니다. Elasticsearch 설치 방법에 대한 세부 내용은 별도로 다루지 않겠습니다. 공식 엘라스틱 홈페이지에서 각 운영 체제(Windows, Ubuntu Linux, CentOS Linux)별로 상세하고 간편한 명령어를 활용한 설치 방법이 제공되니 참고하시면 됩니다. OS 레벨 성능 최적화 Elasticsearch 초기 구축 시에는 운영 체제 레벨에서 .. 서버 네트워크 이야기 2025. 4. 5. 더보기 ›› 파워쉘(Powershell)을 이용한 파일리스 공격 사례 현재 제가 근무하는 보안팀에서 운영중인 특정 솔루션이 보안 취약점으로 인해 랜섬웨어 감염 사례가 빈번히 발생했던 경험을 공유하고자 합니다. 공격자는 해당 솔루션의 취약점을 악용하여 운영 중인 서버에 침투해 피해를 입혔으며, 이에 대한 공격 벡터와 구체적인 공격 방식에 대해 사례를 중심으로 자세히 살펴보겠습니다. 실제 침해사고 분석을 통해 확인된 주요 공격 벡터는 윈도우 명령 프롬프트(cmd)의 권한을 악용한 뒤, 파워쉘(PowerShell)을 사용하여 악성코드를 설치하는 방식입니다. 처음 침투 시에는 파일형식이 없는(Fileless) 형태로 악성코드를 시스템 메모리에 로드하였으며, 이후 실제로 생성된 악성 파일(.ps 파일 등)은 삭제하는 특성을 보였습니다. 이러한 방식은 피해자의 시스템에서 흔적을 최소.. 정보 보안 이야기 2025. 4. 4. 더보기 ›› APT 장비 기반 보안 위협 탐지 룰 설정 예시 실시간으로 발생하는 사이버 보안 위협에 효과적으로 대응하기 위해서는 위협 이벤트에 대한 즉각적인 조치가 필수적입니다. 끊임없이 변화하는 사이버 위협 환경에서 효율적으로 문제를 해결하기 위해서는 보안 위협 이벤트를 탐지할 수 있는 규칙을 설정하고 이를 처리하는 명확하고 체계적인 프로세스를 구축하는 것이 가장 중요한 과제입니다. 이 글에서는 실제 실무에서 보안 위협 탐지를 수행한 사례를 중심으로, 중요한 보안 설정 규칙을 활용한 대응 및 처리 과정에 대해 설명드리겠습니다. 이는 정보 보안 분야에서 종사하시는 분들께 조금이라도 실질적인 도움이 되기를 바라는 마음으로 작성되었습니다. 본문 내용은 저희 회사의 사례를 예로 든것으로 절대적인 정답으로 받아들이기보다는 다양한 관점에서 활용하시기 바랍니다. 해당 내용은.. 정보 보안 이야기 2025. 4. 4. 더보기 ›› SecOps(보안운영) 우리 회사 사례 엿보기 IT 분야에서 최근 주목받고 있는 트렌드 중 하나인 SecOps에 대해 깊이 있는 탐구를 담은 포스팅을 준비했습니다. DevOps와 비슷하게, SecOps는 IT 운영과 보안을 긴밀히 결합하여 조직의 보안성을 극대화하는 방법에 대해서 실무 적인 사례를 들어 알아보도록 하겠습니다. SecOps 정의 DevOps가 소프트웨어 개발자와 운영 팀을 통합하여 효율적인 협업을 추구하듯, SecOps는 IT 보안 팀과 운영 팀 간의 협력을 중심으로 하는 관리 모델입니다. 이는 소프트웨어 개발 및 서비스 출시 단계 전반에 걸쳐 보안 프로세스를 시스템 전반에 통합하는 것을 목표로 합니다. 이와 같은 모델은 조직의 보안 전략을 운영 프로세스와 밀접히 연결하여 전방위적인 보안을 실현할 수 있는 기반을 제공합니다. SecOp.. 정보 보안 이야기 2025. 4. 3. 더보기 ›› 이전 1 2 3 다음
