전체 글182

• 

  [기록] tcpdump로 발신자 ip 찾기 tcpdump에서 발신자 IP를 찾는 옵션은 -ni 입니다. tcpdump -ni any port 514 -A -vv & 꺽쇄 앞이 출발지 IP 출발지IP > 목적지IP 에러로그 2024. 1. 3.

• CEF Syslog 네트워크 및 보안 시스템은 데이터 전송의 수단으로 Syslog를 통해 Syslog 또는 CEF 를 지원합니다. CEF (Common Event Format) CEF의 장점은, 데이터가 정규화되어 유용합니다. 가장 관련성이 높은 정보를 제공하여 다양한 장치 유형을 지원하도록 설계된 확장 가능한 텍스트 기반의 형식입니다. 키-값 쌍으로 형식화된 표준 헤더와 변수 확장으로 구성된 로그 레코드의 구문을 정의합니다. Jan 3 14:43:13 cef-log-test CEF: 0|DeviceVendorName-Test|DeviceProduct-Test|common=event-format-test|end|TRAFFIC|1|rt==evenformatted-receive_timet Jan 3 14:43:13 호스트 CE.. AZURE/클라우드 2024. 1. 3.

• 

  Syslog Syslog는 Linux에 공통되는 이벤트 로깅 프로토콜입니다. Linux 디바이스 및 어플라이언스 기본 제공되는 Syslog 디먼을 사용하여 지정한 형식의 로컬 이벤트를 수집할 수 있습니다. 수집 후에, 해당 이벤트를 Log analytics 작업 영역으로 보낼 수 있습니다. 애플리케이션은 로컬 컴퓨터에 저장되거나 Syslog 수집기에 배달될 수 있는 메시지를 전송합니다. Linux 용 Azure Monitor 에이전트가 설치되면 Syslog 컬렉션이 DCR에서 사용하도록 설정된 경우, 에이전트에 메시지를 전달하도록 로컬 Syslog 디먼을 구성합니다. 그런 다음 Azure monitor에이전트는 해당 Syslog 레코드가 Syslog 테이블에 만들어지는 Azure monitor 또는 Log Analy.. AZURE/클라우드 2024. 1. 3.

• 

  [에러로그] CEF 형식의 Syslog를 log analytics workspace로 전송하는데, Syslog테이블에 로그가 쌓이는데 CommonSecurityLog 테이블에 로그가 안 쌓일 때 문제 테스트쿼리를 아래와 같이 했는데, syslog 테이블에는 로그가 쌓이고, CommonSecurityLog 테이블에는 로그가 안쌓였다. logger -p local4.warn -P 514 -n {forwarder ip} --rfc3164 -t CEF "0|DeviceVendorName-Test|DeviceProduct-Test|common=event-format-test|end|TRAFFIC|1|rt=$common=eventformatted-receive_time" 해결 이벤트 필터 타입의 로그 수준 설정이 잘못되어서 였다. 근데 의문인거는 debug 수준으로 했는데 자꾸 alert 수준으로 원복된다. 문제가 뭘까? 에러로그 2024. 1. 3.

• 

  [Microsoft Sentinel] AMA로 Syslog 보내기 AMA는 Azure Monitor Agent로, 이제 과거에 사용하던 MMA를 대신하여 이 에이전트를 사용하여 Log Analytics 작업영역으로, 로그를 수집할 수 있습니다.sentinel로 로그 수집을 하는 방법에는 여러가지가 있지만, 이 포스트에서는 AMA를 사용하여 syslog 를 전달하는 방법을 설명드리겠습니다. 이 포스팅에서는 rsyslog 서버 구성은 설명하지 않겠습니다. 다른 포스팅을 참고해주세요 링크 : https://mara7.tistory.com/185#Syslog 테이블로 로그 전달syslog를 log analytics 로 전달하는 방법은 간단합니다.이 구성은, 전제조건이 log forwarder서버가 Azure VM일 경우 입니다.Azure에 Log forwarder서버가 구성되.. AZURE/보안 2023. 12. 29.

• 2024 코딩 계획 목표 : 개발자 X , 업무하면서 적용할 수 있는 수준의 코딩 (반복, 간단한 알고리즘 위주) 코딩 공부: - 프로그래머스: 레벨 1~2 - 백준: solved.ac 클래스 1~2 목표 범위 : 1주일에 1문제 이상 , 하루에 최대 30분이상 하지 않는다. 기록은 github에 https://github.com/mara89ma/pythoncoding 한다. 파이썬 2023. 12. 25.

• 

  [에러 로그] Hyper-V 로컬 외부 브릿지 설정 후 Wifi 어뎁터 문제 해결 오늘 회사에서 로컬 Hyper-V로 윈도우서버를 올리려고 네트워크 설정을 건드리다가 인터넷이 먹통되어 몇시간동안 고생한 기록을 하려고 한다. [문제 상황]사내 와이파이 연결이 안된다.. 핫스팟도 안된다 ...네트워크 연결에서 이렇게 x로 나오는것과 동시에 연결가능한 와이파이 목록에 아무것도 없었다. 회사 네트워크 연결만 안되는것이 아니라 , 핫스팟도 연결이 안됐다. 정상 네트워크 연결 상태정상적인 네트워크 상태는 아래처럼 나와야한다. 내컴퓨터 → 와이파이 → 인터넷 해결했던 방법방법 1: 네트워크 위치 유형 변경MS 공식사이트에서 찾은 답변 이렇게 하니까 사용할 수 있는 와이파이 목록이 나왔다. 방법 2 : Hyper -V 끄기 및 네트워크 초기화 후 재시작 제어판 설정에서 Windows 기능 켜기/끄기.. 에러로그 2023. 12. 21.

• 

  FinOps Certified Practitioner 취득 후기 FinOps 취득 후기 올해 목표였던 FinOps 자격증을 취득하였습니다. 나온지 얼마 안된 자격증이라 정보도 많이 없고 해서 자격증 취득 후기를 공유합니다! 핀옵스 자격증에 대해 궁금하신 내용이 있으시면 댓글로 남겨주세요 https://verify.skilljar.com/c/bq6hb28k77zf 시험 정보 시험 내용 : FinOps 기본 사항과 FinOps 수명 주기의 세 가지 섹션인 정보 제공, 최적화, 운영 각각의 주요 개념에 대한 개요를 다룹니다. FinOps에 대한 기본적인 이해와 이를 적용하여 클라우드 지출을 통해 비즈니스 가치를 높이는 방법을 원하는 전문가를 위해 설계할 수 있는 방법에 관한 내용으로 구성되어 있습니다. 시험 가격 : $ 300 (한화 약 39만원) 제공 언어 : 영어 (시.. AZURE/FinOps 2023. 12. 18.

• 

  [Microsoft Sentinel] 메뉴 설명 2 - 콘텐츠 관리 및 구성 콘텐츠 관리콘텐츠 허브 MS에서 제공하는 콘텐츠를 사용할 수 있습니다.데이터 커넥터, 통합 문서, 분석 및 자동화 등을 제공합니다.구성데이터 커넥터Microsoft 제품 및 타사 제품에 대한 데이터 커넥터를 제공하여 custom logs 를 만들고, 이를 바탕으로 센티넬에서 해당 로그를 분석할 수 있습니다.커넥터가 없는 제품에 대해서는 api 를 통해서 연결할 수 있습니다. 분석커넥터를 통해 데이터원본을 연결한 후에 사용자 환경에서 특정 이벤트 또는 이벤트 집합을 검색할 수 있습니다.검색 한 후에 특정 이벤트 임계값 또는 조건에 도달하면 경고를 발생시킵니다.SOC가 심사 및 조사 할 인시던트를 생성하고 자동화된 추적 및 수정 프로세스를 사용하여 위협에 대응합니다. 관심목록데이터 원본의 데이터와 Micro.. AZURE/보안 2023. 12. 14.

• 

  [Microsoft Sentinel] 메뉴 설명 1 - 일반 탭 및 위협관리 일반로그센티넬 log analytics 작업 영역에서 로그 검색을 할 수 있습니다.새 경고 규칙 탭으로 azure monitor 경고나 sentinel 경고 규칙을 생성할 수 있습니다.위협관리인시던트관련 경고의 컬렉션입니다. 분석 규칙에 의하여 위협 발생시 인시던트가 생성됩니다. 분석 규칙에 의해 생성되거나 자체 경고를 생성하는 타사 보안 제품에서 가져온 경고를 기반으로 각 인시던트가 생성되거나 추가됩니다.심각도, 상태, MITRE ATT&CK 전술 및 기술과 같은 경고 속성을 상속합니다.통합문서데이터를 시각화하는 도구입니다.대시보드이며, 한눈에 다양한 소스에서 수집된 데이터를 볼 수 있습니다.보고싶은 데이터를 한눈에 볼 수 있다는 것이 장점입니다.헌팅데이터원본에 대한 위협을 사전 예방 검색을 할 수 있.. AZURE/보안 2023. 12. 13.

• 

  [Microsoft Sentinel] 센티넬 비용 (수집할 데이터 양이 제일 큰 변수!) 센티넬 비용센티넬에서 중요한 것은 수집비용이 두번 청구된다는 것입니다.Sentinel은 log analytics 작업 영역을 기반으로 하는 솔루션이기 때문에, ① 기본 작업 공간, ② Sentinel에 대한 수집 비용 이렇게 두번 청구됩니다.① 수집 비용② 센티넬 대한 수집 비용Azure 가격데이터 수집평가판 가격 새 작업 영역은 처음 31일 동안 무료로 최대 10GB/일의 로그 데이터를 수집할 수 있습니다 . 31일 평가판 기간 동안 Log Analytics 데이터 수집 및 Microsoft Sentinel 요금이 모두 면제됩니다. 이 무료 평가판에는 Azure 테넌트당 작업 영역이 20개로 제한됩니다.무료 데이터 소스Azure AD ID 보호Azure 활동 로그오피스 365클라우드용 Microsoft.. AZURE/보안 2023. 12. 11.

• 

  [Microsoft Sentinel] 센티넬의 데이터 수집에 대한 이해 어떻게 LA로 로그를 전송할 수 있는가?에 대한 포스팅입니다.Microsoft Sentinel의 데이터 수집 흐름기본 베이스는 위와 같습니다.센티넬에 데이터를 수집하기 위한 방법은 세 가지가 있습니다.기본 제공 커넥터기본 제공 커넥터의 경우 제공되는 로그 테이블이 있으며 sentinel의 작업 영역에 로그가 쌓이게 된다.커넥터 설치만 하면 되어서 연결이 가장 쉽습니다.에이전트 기반 커넥터에이전트 기반의 커넥터의 경우 현재 두 가지가 사용 중 입니다.AMA 에이전트 : 이 에이전트는 azure monitoring 에이전트로 syslog, windowsevent 를 연결할 수 있습니다.MMA 에이전트 : 레거시 에이전트고 내년 4월 쯤 없어지고 AMA로 통합될 예정입니다.AMA vs MMA 차이점MMA 20.. AZURE/보안 2023. 12. 7.