전체 글179 [Microsoft Sentinel]비용 최적화: Fortinet 로그 시간 기반 필터링 Azure Sentinel에서 비용 절감을 위해 Fortinet 로그를 특정 시간대에만 전송하는 필터링을 구현했습니다. 이를 통해 불필요한 로그 데이터를 제한하고 운영 비용을 줄이는 것이 목표였습니다. 다른 솔루션에서 발생하는 로그는 시간에 상관없이 항상 전송되도록 설정했습니다.문제점Fortinet 로그가 모든 시간대에 Azure Sentinel로 전송되어 과도한 비용이 발생했습니다. 비용을 줄이기 위해 필요한 시간대에만 Fortinet 로그를 전송할 수 있는 해결책이 필요했습니다.해결 방법1. 설정 파일 수정:/etc/rsyslog.d/50-default.conf 파일을 00-default.conf로 우선순위를 변경했습니다. 이는 필터링 규칙이 다른 설정보다 먼저 적용되도록 하기 위함입니다.Rainer.. AZURE/보안 2024. 11. 19. PHP.CGI.Argument.Injection 취약점 (CVE-2024-4577) PHP.CGI.Argument.Injection 취약점 (CVE-2024-4577)개요PHP.CGI.Argument.Injection은 2024년 6월에 발견된 심각한 원격 코드 실행(RCE) 취약점입니다. 이 취약점은 Windows 환경에서 실행되는 PHP CGI에 영향을 미치며, CVSS 점수 9.8(Critical)로 매우 위험합니다.영향을 받는 버전PHP 8.3 PHP 8.2 PHP 8.1 취약점 메커니즘Windows의 "Best-Fit Mapping" 기능을 악용합니다.소프트 하이픈(0xAD) 문자를 사용하여 CGI 핸들러의 이스케이프 처리를 우회합니다.URL 쿼리 문자열에 %AD(URL 인코딩된 소프트 하이픈)를 포함시켜 PHP 프로세스에 임의의 명령줄 인수를 주입할 수 있습니다.공격 예시te.. 보안 2024. 10. 28. 트로이 목마 트로이 목마정의사용자의 지식 없이 활동을 수행하는 멀웨어 유형활동일반적으로 원격 액세스 연결 설정, 키보드 입력 캡쳐, 시스템 정보 수집, 파일 다운로드/업로드, 감염된 시스템에 다른 멀웨어 삽입, 서비스 거부 공격 수행, 프로세스 실행/종료 포함특징악성코드가 합법적인 소프트웨어로 위장하여 사용자의 신뢰 획득사용자나 보안 솔루션에 의해 쉽게 탐지 되지 않도록 다양한 난독화 기법 사용감염된 시스템이 원격 서버에 연결되어 제어됨사용자의 수동 실행이 필요하므로 주로 피싱 이메일이나 악성 웹사이트를 통해 배포전파 경로피싱 이메일의 첨부 파일이나 악성 링크악성 웹사이트에서 다운로드 된 파일감염된 소프트웨어 또는 파일 공유 네트워크권장 조치forti 시스템 최신 AV 데이터베이스 사용하고 있는지 확인 필요탐지 된 .. AZURE/보안 2024. 10. 17. 악성 코드 보안 업계에서는 악성코드를 체계적으로 분류하고 식별하기 위해 특정한 명명 규칙을 사용합니다.이 규칙을 이해하면 악성코드의 특성을 신속하게 파악할 수 있어, 효과적인 대응 전략 수립에 도움이 됩니다. 악성코드 명명의 기본 구조는 다음과 같습니다: (스크립트 언어/계열.악성코드 이름)유형 이 구조를 세부적으로 분석해 보겠습니다:스크립트 언어 또는 계열 이는 악성코드의 구현 언어나 실행 환경을 나타냅니다. 예를 들어:JS: JavaScriptHTML: HTMLMSIL: Microsoft Intermediate LanguageAutoIt: AutoIt 스크립팅 언어악성코드 이름/변종 이 부분은 악성코드의 패밀리나 특정 변종을 식별합니다. 예를 들어:Agent: 일반적인 트로이 목마 계열Phishing: 피싱 공.. 보안 2024. 10. 16. [Microsoft Sentinel] 비용에 대한 이해_ 2024 8월_최신 기본 로그 vs 분석 로그기본적으로 Log Analytics 작업 영역의 모든 테이블은 Analytics 테이블이며 쿼리 및 경고에 사용할 수 있습니다. 기본 로그를 사용하려면 아래와 같은 조건이 충족되어야 합니다.기본 로그 사용 시 Azure 환경에서 고려해야 할 사항테이블이 기본 로그를 지원합니다 https://learn.microsoft.com/ko-kr/azure/azure-monitor/logs/basic-logs-configure?tabs=portal-1#supported-tables ex) ComtainerLogV2DCR(데이터 컬렉션 규칙) 기반 로그 수집 API로 만들어지거나 마이그레이션된 모든 사용자 지정 테이블.기본 로그 사용 시 수집가가 고려해야 할 사항테이블에 저장된 로그 데이터의.. AZURE/보안 2024. 8. 7. [Defender for Cloud] Just in Time 사용 방법 Defender for Server Plan2 사용시 JIT 사용이 가능합니다. 사용방법1. Microsoft Defender for Cloud > 워크로드 보호 > JIT VM 액세스2. JIT 액세스를 사용할 VM > 구성 > JIT VM 액세스 > JIT 사용 3. 구성 시 네트워크 보안 그룹에는 Deny룰 (①) 이 생깁니다. JIT 사용하기1. 가상머신 > 연결 > Just in Time 정책 > 액세스 요청3. 사용시 사용한 시간 만큼 네트워크 보안 그룹에 아래 allow ( ② ) 룰 이 생깁니다. AZURE/보안 2024. 8. 5. [Defender for Cloud] 에이전트 없는 컴퓨터 검사 사용 할 수 있는 조건 : Defender CSPM(클라우드 보안 상태 관리) 또는 서버 플랜 2용 Microsoft Defender가 필요합니다. 에이전트 없는 컴퓨터 검사 작동방식 및 설명 에이전트 없는 검사의 경우 클라우드 API를 사용하여 데이터를 수집합니다. (에이전트를 사용 검사 : 런타임에 운영 체제 API를 사용하여 보안 관련 데이터를 지속적으로 수집합니다.) 클라우드용 Defender는 VM 디스크의 스냅샷을 만들고 스냅샷에 저장된 운영 체제 구성 및 파일 시스템에 대한 대역 외의 심층 분석을 수행합니다. 복사된 스냅샷은 VM에 동일한 지역에 유지되며 VM은 검사의 영향을 받지 않습니다. 에이전트 없는 검사 테스트Microsoft docs에는 24시간 이내에 보안 경고를 볼 수 있.. AZURE/보안 2024. 6. 14. [Defender for Cloud] 사용자 지정 작업 영역으로 로그 내보내기 다음은, Arc 에이전트를 통해 Azure 에 온보딩한 서버에 대한 Defender for Cloud를 통해 대상서버를 보호받을 수 있는 방법입니다. 이 포스팅에서는 기본 작업영역이 아닌 사용자 지정 작업영역에 로그들을 쌓도록 설정하는 방법을 안내드리겠습니다. Log Management 테이블 이 테이블의 경우, Event를 쌓고 있는데 이것은 DCR 생성시에 로그 수집 수준을 선택하게 되고, 해당 로그를 사용자 지정영역에 쌓도록 설정하는 것은 DCR을 구성하여 해당 리소스를 연결하면 됩니다. Security and Audit 테이블 이 테이블은 보안 로그 수집 테이블입니다. 설정방법은, Defender for Cloud의 환경설정에서 사용자 지정 Log analytics workspace에 대한 Def.. AZURE/보안 2024. 1. 30. x만큼 간격이 있는 n개의 숫자 - 파이썬 def solution(x, n): answer = [] for i in range(1,n+1): answer.append(x*i) return answer 오랜만에 코딩 풀었더니.. append 쓰는 법을 까먹었따.. 다시 꾸준히 해봐야지 ㅠㅠ 충격이네 https://school.programmers.co.kr/learn/courses/30/lessons/12954?language=python3 파이썬 2024. 1. 30. [기록] tcpdump로 발신자 ip 찾기 tcpdump에서 발신자 IP를 찾는 옵션은 -ni 입니다. tcpdump -ni any port 514 -A -vv & 꺽쇄 앞이 출발지 IP 출발지IP > 목적지IP 에러로그 2024. 1. 3. CEF Syslog 네트워크 및 보안 시스템은 데이터 전송의 수단으로 Syslog를 통해 Syslog 또는 CEF 를 지원합니다. CEF (Common Event Format) CEF의 장점은, 데이터가 정규화되어 유용합니다. 가장 관련성이 높은 정보를 제공하여 다양한 장치 유형을 지원하도록 설계된 확장 가능한 텍스트 기반의 형식입니다. 키-값 쌍으로 형식화된 표준 헤더와 변수 확장으로 구성된 로그 레코드의 구문을 정의합니다. Jan 3 14:43:13 cef-log-test CEF: 0|DeviceVendorName-Test|DeviceProduct-Test|common=event-format-test|end|TRAFFIC|1|rt==evenformatted-receive_timet Jan 3 14:43:13 호스트 CE.. AZURE/클라우드 2024. 1. 3. Syslog Syslog는 Linux에 공통되는 이벤트 로깅 프로토콜입니다. Linux 디바이스 및 어플라이언스 기본 제공되는 Syslog 디먼을 사용하여 지정한 형식의 로컬 이벤트를 수집할 수 있습니다. 수집 후에, 해당 이벤트를 Log analytics 작업 영역으로 보낼 수 있습니다. 애플리케이션은 로컬 컴퓨터에 저장되거나 Syslog 수집기에 배달될 수 있는 메시지를 전송합니다. Linux 용 Azure Monitor 에이전트가 설치되면 Syslog 컬렉션이 DCR에서 사용하도록 설정된 경우, 에이전트에 메시지를 전달하도록 로컬 Syslog 디먼을 구성합니다. 그런 다음 Azure monitor에이전트는 해당 Syslog 레코드가 Syslog 테이블에 만들어지는 Azure monitor 또는 Log Analy.. AZURE/클라우드 2024. 1. 3. 이전 1 2 3 4 ··· 15 다음