전체 글182

• 

  Azure Sentinel 로그의 장기 보관 방안: Azure Blob Storage 활용하기 보안 로그를 장기 보관하는 것은 기업의 글로벌 컴플라이언스 요건(예: GDPR, ISO 27001, NIST 등)을 충족하는 데 중요한 요소입니다. Microsoft Sentinel은 Microsoft의 클라우드 기반 SIEM(Security Information and Event Management) 솔루션으로, 보안 로그를 통합 관리하고 분석하는 데 탁월한 기능을 제공합니다.이 글에서는 Sentinel 로그를 10년 이상 장기 보관하기 위한 Azure Blob Storage(아카이브 계층) 활용 방안을 소개합니다.1. Sentinel 로그 장기 보관의 필요성Sentinel은 보안 이벤트와 로그를 분석하여 위협을 탐지하고 대응을 자동화합니다. 하지만 Sentinel 자체는 장기 보관을 위한 별도 스토리.. AZURE/보안 2025. 1. 24.

• YAML 이란? YAML목적 : 데이터를 나타내기 위해 사용구분을 "빈칸" 으로 함- 보통 YAML에서는 공백을 사용하여 들여쓰기를 함3가지 유형이 있음 1. Dictionary (맵)color : BlueModel :  Name : corvette  Year: 1995Price: $20,000  2. List (리스트)- Blue- Grey  3. List of Dictionary (딕셔너리의 리스트)- color : Blue   Model :     Name : corvette     Year: 1995   Price: $20,000- color : Grey   Model :     Name : corvette     Year: 1996   Price: $25,000  추가사항데이터 타입 : YAML은 문자열 외에도.. CKA 2025. 1. 8.

• 다단계 공격 사례 분석 사례 - ThinkPHP부터 PHPStudy까지 다단계 공격 사례 분석: ThinkPHP부터 PHPStudy까지1. 도입: 웹 애플리케이션 공격 분석최근 보안 분석 업무를 진행하며, 여러 웹 플랫폼을 대상으로 한 다단계 공격 패턴을 확인했습니다.공격자는 ThinkPHP, Drupal, Laravel, PHPStudy와 같은 다양한 애플리케이션 취약점을 악용하며 점차 범위를 넓혀 갔습니다.이 과정에서 발견된 공격 패턴과 이를 방어하기 위한 전략을 공유하려 합니다.2. 각 플랫폼, 간단히 알아보기(1) ThinkPHP란?ThinkPHP는 PHP 기반 웹 개발 도구(프레임워크)로, 웹사이트 개발을 간단하게 도와주는 툴입니다.마치 요리 재료가 준비된 “쿠킹 키트”처럼, 미리 만들어진 기능을 조합하여 빠르게 웹사이트를 만들 수 있죠. • 장점: 빠른 개발이 가.. 보안/공격 이벤트 분석 2024. 12. 4.

• 

  [Microsoft Sentinel]비용 최적화: Fortinet 로그 시간 기반 필터링 Azure Sentinel에서 비용 절감을 위해 Fortinet 로그를 특정 시간대에만 전송하는 필터링을 구현했습니다. 이를 통해 불필요한 로그 데이터를 제한하고 운영 비용을 줄이는 것이 목표였습니다. 다른 솔루션에서 발생하는 로그는 시간에 상관없이 항상 전송되도록 설정했습니다.문제점Fortinet 로그가 모든 시간대에 Azure Sentinel로 전송되어 과도한 비용이 발생했습니다. 비용을 줄이기 위해 필요한 시간대에만 Fortinet 로그를 전송할 수 있는 해결책이 필요했습니다.해결 방법1. 설정 파일 수정:/etc/rsyslog.d/50-default.conf 파일을 00-default.conf로 우선순위를 변경했습니다. 이는 필터링 규칙이 다른 설정보다 먼저 적용되도록 하기 위함입니다.Rainer.. AZURE/보안 2024. 11. 19.

• 

  PHP.CGI.Argument.Injection 취약점 (CVE-2024-4577) PHP.CGI.Argument.Injection 취약점 (CVE-2024-4577)개요PHP.CGI.Argument.Injection은 2024년 6월에 발견된 심각한 원격 코드 실행(RCE) 취약점입니다. 이 취약점은 Windows 환경에서 실행되는 PHP CGI에 영향을 미치며, CVSS 점수 9.8(Critical)로 매우 위험합니다.영향을 받는 버전PHP 8.3 PHP 8.2 PHP 8.1 취약점 메커니즘Windows의 "Best-Fit Mapping" 기능을 악용합니다.소프트 하이픈(0xAD) 문자를 사용하여 CGI 핸들러의 이스케이프 처리를 우회합니다.URL 쿼리 문자열에 %AD(URL 인코딩된 소프트 하이픈)를 포함시켜 PHP 프로세스에 임의의 명령줄 인수를 주입할 수 있습니다.공격 예시te.. 보안 2024. 10. 28.

• 

  트로이 목마 트로이 목마정의사용자의 지식 없이 활동을 수행하는 멀웨어 유형활동일반적으로 원격 액세스 연결 설정, 키보드 입력 캡쳐, 시스템 정보 수집, 파일 다운로드/업로드, 감염된 시스템에 다른 멀웨어 삽입, 서비스 거부 공격 수행, 프로세스 실행/종료 포함특징악성코드가 합법적인 소프트웨어로 위장하여 사용자의 신뢰 획득사용자나 보안 솔루션에 의해 쉽게 탐지 되지 않도록 다양한 난독화 기법 사용감염된 시스템이 원격 서버에 연결되어 제어됨사용자의 수동 실행이 필요하므로 주로 피싱 이메일이나 악성 웹사이트를 통해 배포전파 경로피싱 이메일의 첨부 파일이나 악성 링크악성 웹사이트에서 다운로드 된 파일감염된 소프트웨어 또는 파일 공유 네트워크권장 조치forti 시스템 최신 AV 데이터베이스 사용하고 있는지 확인 필요탐지 된 .. AZURE/보안 2024. 10. 17.

• 

  악성 코드 보안 업계에서는 악성코드를 체계적으로 분류하고 식별하기 위해 특정한 명명 규칙을 사용합니다.이 규칙을 이해하면 악성코드의 특성을 신속하게 파악할 수 있어, 효과적인 대응 전략 수립에 도움이 됩니다. 악성코드 명명의 기본 구조는 다음과 같습니다: (스크립트 언어/계열.악성코드 이름)유형 이 구조를 세부적으로 분석해 보겠습니다:스크립트 언어 또는 계열 이는 악성코드의 구현 언어나 실행 환경을 나타냅니다. 예를 들어:JS: JavaScriptHTML: HTMLMSIL: Microsoft Intermediate LanguageAutoIt: AutoIt 스크립팅 언어악성코드 이름/변종 이 부분은 악성코드의 패밀리나 특정 변종을 식별합니다. 예를 들어:Agent: 일반적인 트로이 목마 계열Phishing: 피싱 공.. 보안 2024. 10. 16.

• 

  [Microsoft Sentinel] 비용에 대한 이해_ 2024 8월_최신 기본 로그 vs 분석 로그기본적으로 Log Analytics 작업 영역의 모든 테이블은 Analytics 테이블이며 쿼리 및 경고에 사용할 수 있습니다. 기본 로그를 사용하려면 아래와 같은 조건이 충족되어야 합니다.기본 로그 사용 시 Azure 환경에서 고려해야 할 사항테이블이 기본 로그를 지원합니다 https://learn.microsoft.com/ko-kr/azure/azure-monitor/logs/basic-logs-configure?tabs=portal-1#supported-tables ex) ComtainerLogV2DCR(데이터 컬렉션 규칙) 기반 로그 수집 API로 만들어지거나 마이그레이션된 모든 사용자 지정 테이블.기본 로그 사용 시 수집가가 고려해야 할 사항테이블에 저장된 로그 데이터의.. AZURE/보안 2024. 8. 7.

• 

  [Defender for Cloud] Just in Time 사용 방법 Defender for Server Plan2 사용시 JIT 사용이 가능합니다.  사용방법1. Microsoft Defender for Cloud > 워크로드 보호 > JIT VM 액세스2. JIT 액세스를 사용할 VM > 구성 > JIT VM 액세스 >  JIT 사용 3. 구성 시 네트워크 보안 그룹에는 Deny룰 (①) 이 생깁니다. JIT 사용하기1. 가상머신 >  연결 > Just in Time 정책 > 액세스 요청3. 사용시 사용한 시간 만큼 네트워크 보안 그룹에 아래 allow  ( ② ) 룰 이 생깁니다. AZURE/보안 2024. 8. 5.

• 

  [Defender for Cloud] 에이전트 없는 컴퓨터 검사 사용 할 수 있는 조건 :  Defender CSPM(클라우드 보안 상태 관리) 또는 서버 플랜 2용 Microsoft Defender가 필요합니다. 에이전트 없는 컴퓨터 검사 작동방식 및 설명 에이전트 없는 검사의 경우 클라우드 API를 사용하여 데이터를 수집합니다. (에이전트를 사용 검사 :   런타임에 운영 체제 API를 사용하여 보안 관련 데이터를 지속적으로 수집합니다.) 클라우드용 Defender는 VM 디스크의 스냅샷을 만들고 스냅샷에 저장된 운영 체제 구성 및 파일 시스템에 대한 대역 외의 심층 분석을 수행합니다. 복사된 스냅샷은 VM에 동일한 지역에 유지되며 VM은 검사의 영향을 받지 않습니다.  에이전트 없는 검사 테스트Microsoft docs에는 24시간 이내에 보안 경고를 볼 수 있.. AZURE/보안 2024. 6. 14.

• 

  [Defender for Cloud] 사용자 지정 작업 영역으로 로그 내보내기 다음은, Arc 에이전트를 통해 Azure 에 온보딩한 서버에 대한 Defender for Cloud를 통해 대상서버를 보호받을 수 있는 방법입니다. 이 포스팅에서는 기본 작업영역이 아닌 사용자 지정 작업영역에 로그들을 쌓도록 설정하는 방법을 안내드리겠습니다. Log Management 테이블 이 테이블의 경우, Event를 쌓고 있는데 이것은 DCR 생성시에 로그 수집 수준을 선택하게 되고, 해당 로그를 사용자 지정영역에 쌓도록 설정하는 것은 DCR을 구성하여 해당 리소스를 연결하면 됩니다. Security and Audit 테이블 이 테이블은 보안 로그 수집 테이블입니다. 설정방법은, Defender for Cloud의 환경설정에서 사용자 지정 Log analytics workspace에 대한 Def.. AZURE/보안 2024. 1. 30.

• x만큼 간격이 있는 n개의 숫자 - 파이썬 def solution(x, n): answer = [] for i in range(1,n+1): answer.append(x*i) return answer 오랜만에 코딩 풀었더니.. append 쓰는 법을 까먹었따.. 다시 꾸준히 해봐야지 ㅠㅠ 충격이네 https://school.programmers.co.kr/learn/courses/30/lessons/12954?language=python3 파이썬 2024. 1. 30.