Security Diary

DNS 네트워크 현황 분석 항목 ❶ Top 10 도메인 현황 - 사용자가 많이 접속한 도메인 10개 보여줌 - 많이 접속한다는 것은 많은 사용자가 접속한다는 뜻이지만 소수의 클라이언트가 많이 접속할 수도 있다는 뜻이기도 함 ex) 동일한 도메인을 10분 동안 60번씩 요청할 경우, 자동화된 프로그램으로 동작한다고 추측 가능 - 네트워크 접속 행위를 분석 시 해당 트래픽이 사용자가 발생시킨 것인지, 자동 프로그램이 일으킨 행위인지를 분석의 기준으로 삼으면 좋음 ＊ 현황 분석은 숫자를 보여주지만, 해당 숫자에서 이상 징후 유추 가능 더보기 index=dnslog sourcetype=dnslog dpt=53 domain!="*.arpa" domain!="-" | eval list="mozilla" | `ut_..

fields - 검색 결과에서 특정 필드를 포함시키거나 제거 시 사용 - +는 기본값이므로 반드시 명시할 필요 없음 - 필드 추출하기 전에 동작하므로 검색 결과에서 원하는 필드만 선택 시 전체 검색 성능 높일 수 있음 split (X, "Y") - 구분자 Y를 이용해서 X를 분할해 다중 값 형식으로 변환 - 구분자로 분리한 문자열은 여러 개의 토큰이 발생하므로 주로 mvindex()에서 사용 - 이벤트에서 특정 값 추출할 때 사용 mvindex (X, Y, Z) - 필드 X에 있는 Y 번째 값 반환 (Z 생략가능) - Y는 인덱스 번호 ( 0 : 첫 번째 값, -1 : 인덱스를 뒤에서 시작, -2 : 끝에서 두 번째) - 세 번째 인자인 Z는 선택적으로 사용 → Z값을 지정하면 함수는 Y부터 Z까지의 값..

Zeek 로그 형식 - 입력 트래픽에서 프로토콜마다 로그 파일 생성 - 생성 파일명 : 프로토콜.log - 기본 설정에서 모든 로그는 1시간마다 로테이트되면 저장 - 대량의 로그를 검색하고 분석하는 기능은 제공X 윈도우 로그 - 운영체제가 업그레이드됨에 따라 버전 별로 형태와 경로가 조금 상이함 로그 확인 2가지 방법 ❶ 레즈스트리 통한 확인 : HKEY_LOCAL_MACHINE > SYSTEM > Current ControlSet > Services > EventLog ❷ 이벤트 뷰어 통한 확인 regedit 경로 → HKEY_LOCAL_MACHINE > SYSTEM > Current ControlSet > Services > EventLog 이벤트뷰어 ① 전역로그 (Windows 로그) (★) - 전..

NTP 구성 - 시간 동기화를 위해 유니캐스트, 브로드캐스트, 멀티캐스트 사용 - NTP 서버들에 대한 정보 제공 (https://www.ntppool.org) - 시간 동기화 목적 ❶ 예약 작업 실행되지 않는 것 방지 ❷ 로그에 대한 신뢰도 ❸ 보안, 암호화 인증 프로토콜 과정 시 timestamp 및 lifetime 추가 - 시간 종류 RTC (Real Time Clock ) • 하드웨어 시간 또는 CMOS 시간 • 컴퓨터 보드의 배터리에 의해 작동하는 시간 • 요일, 날짜, 시간 표시 • RTC 시간 변경은 컴퓨터 시작 전 BIOS 설정 창이나 운영체제 실행 중 명령어 통해 가능 System Clock (시스템시간) • 리눅스 커널이 사용하는 시간 • 소프트웨어 시간 • 요일, 날짜, 시간 표시 및..

Management Solution ① NMS (Network Management System) ② SMS (Server Management System) ③ ESM (Enterprise Security Management) ④ SIEM (Security Information & Event Management) ① NMS (네트워크 관리시스템) - 기관이 정한 요구사항을 만족을 위해 네트워크 장비를 관리하는 시스템 - 네트워크 장비에 대해 구성 관리, 장애 관리, 성능 관리, 보안관리, 계정관리 기능 가짐 - NMS 운영을 위해 사용하는 프로토콜 : SNMP, CMIP, RMON 등 · 기능 구성관리 Configuration management 네트워크 관련 장비들의 구성현황 파악 및 설정관리 장애관리 ..

Tshak & tcpdump · Wireshark 이용해 대용량 패킷 분석하려면 높은 사양 시스템 필요 - 메모리, CPU, DISK I/O 성능 따라 로딩에 많은 속도 차이 발생 · 시스템 메모리 부족 시 발생할 수 있는 문제점 - 파일 읽어 들일 수 없을 수 있음 - 로딩했다하더라도 화면에 보이기까지 많은 시간 소요 - 필터링 옵션 적용할 때도 많은 시간 소요되어 정상적 분석 불가능한 경우 발생 Cisco Packet Tracer 더보기 > PC0 클릭 > Command Prompt 클릭 PC> ipconfig /all // MAC Address까지 확인 가능 PC> ipconfig /all // MAC Address까지 확인 가능 > PC0 (1.10)과 PC2 (1.20)에 MAC Address ..

OSI 7계층 - ISO(국제 표준 기구)는 서로 다른 시스템 간의 통신을 허용하기 위해 OSI (Open System Interconnection) 모델 만듦 - OSI 참조모델은 network가 제공하는 여러 가지의 기능을 7개의 계층으로 나누어 식별 OSI Reference Model과 TCP/IP 비교 - TCP/IP 모델은 OSI 모델 간결한 버전 · OSI - Transport (L4) 종단 간 통신 및 오류 없는 데이터 전달 (TCP, UDP) - Application (L7) 노드 간 통신 담당, 사용자 인터페이스 사양 제어 (HTTP, HTTPS, SSH, NTP 등) · TCP/IP - Network Access (L1) 하드웨어 주소 지정 찾고 데이터 물리적 전송 허용 - Intern..

네트워크 개요 - LAN과 LAN을 연결하기 위해 WAN 사용 Gateway - 망과 망을 연결시켜주는 중계 장비 - 3계층 이상의 장비로 사용 {라우터, 멀티레이어 스위치, 게이트웨이 전용 장비(방화벽)} 1) 네트워크 주소 - FQDN - Port Number - IP Address - MAC Address 논리적 주소 (3계층) - IP address 구성 → Network ID + Host ID - Subnet Mask 기능 → IP address의 Network ID와 Host ID 구분 내부망과 외부망 - 송신자 : 데이터를 보내는 측 - 수신자 : 데이터를 받는 측 - 내부망 : 송수신자가 동일한 네트워크 ID 사용 - 외부망 : 송수신자가 서로 다른 네트워크 ID 사용 물리적 주소 (2계층..