AZURE/보안14

• 

  [Microsoft Sentinel]비용 최적화: Fortinet 로그 시간 기반 필터링 Azure Sentinel에서 비용 절감을 위해 Fortinet 로그를 특정 시간대에만 전송하는 필터링을 구현했습니다. 이를 통해 불필요한 로그 데이터를 제한하고 운영 비용을 줄이는 것이 목표였습니다. 다른 솔루션에서 발생하는 로그는 시간에 상관없이 항상 전송되도록 설정했습니다.문제점Fortinet 로그가 모든 시간대에 Azure Sentinel로 전송되어 과도한 비용이 발생했습니다. 비용을 줄이기 위해 필요한 시간대에만 Fortinet 로그를 전송할 수 있는 해결책이 필요했습니다.해결 방법1. 설정 파일 수정:/etc/rsyslog.d/50-default.conf 파일을 00-default.conf로 우선순위를 변경했습니다. 이는 필터링 규칙이 다른 설정보다 먼저 적용되도록 하기 위함입니다.Rainer.. AZURE/보안 2024. 11. 19.

• 

  트로이 목마 트로이 목마정의사용자의 지식 없이 활동을 수행하는 멀웨어 유형활동일반적으로 원격 액세스 연결 설정, 키보드 입력 캡쳐, 시스템 정보 수집, 파일 다운로드/업로드, 감염된 시스템에 다른 멀웨어 삽입, 서비스 거부 공격 수행, 프로세스 실행/종료 포함특징악성코드가 합법적인 소프트웨어로 위장하여 사용자의 신뢰 획득사용자나 보안 솔루션에 의해 쉽게 탐지 되지 않도록 다양한 난독화 기법 사용감염된 시스템이 원격 서버에 연결되어 제어됨사용자의 수동 실행이 필요하므로 주로 피싱 이메일이나 악성 웹사이트를 통해 배포전파 경로피싱 이메일의 첨부 파일이나 악성 링크악성 웹사이트에서 다운로드 된 파일감염된 소프트웨어 또는 파일 공유 네트워크권장 조치forti 시스템 최신 AV 데이터베이스 사용하고 있는지 확인 필요탐지 된 .. AZURE/보안 2024. 10. 17.

• 

  [Microsoft Sentinel] 비용에 대한 이해_ 2024 8월_최신 기본 로그 vs 분석 로그기본적으로 Log Analytics 작업 영역의 모든 테이블은 Analytics 테이블이며 쿼리 및 경고에 사용할 수 있습니다. 기본 로그를 사용하려면 아래와 같은 조건이 충족되어야 합니다.기본 로그 사용 시 Azure 환경에서 고려해야 할 사항테이블이 기본 로그를 지원합니다 https://learn.microsoft.com/ko-kr/azure/azure-monitor/logs/basic-logs-configure?tabs=portal-1#supported-tables ex) ComtainerLogV2DCR(데이터 컬렉션 규칙) 기반 로그 수집 API로 만들어지거나 마이그레이션된 모든 사용자 지정 테이블.기본 로그 사용 시 수집가가 고려해야 할 사항테이블에 저장된 로그 데이터의.. AZURE/보안 2024. 8. 7.

• 

  [Defender for Cloud] Just in Time 사용 방법 Defender for Server Plan2 사용시 JIT 사용이 가능합니다.  사용방법1. Microsoft Defender for Cloud > 워크로드 보호 > JIT VM 액세스2. JIT 액세스를 사용할 VM > 구성 > JIT VM 액세스 >  JIT 사용 3. 구성 시 네트워크 보안 그룹에는 Deny룰 (①) 이 생깁니다. JIT 사용하기1. 가상머신 >  연결 > Just in Time 정책 > 액세스 요청3. 사용시 사용한 시간 만큼 네트워크 보안 그룹에 아래 allow  ( ② ) 룰 이 생깁니다. AZURE/보안 2024. 8. 5.

• 

  [Defender for Cloud] 에이전트 없는 컴퓨터 검사 사용 할 수 있는 조건 :  Defender CSPM(클라우드 보안 상태 관리) 또는 서버 플랜 2용 Microsoft Defender가 필요합니다. 에이전트 없는 컴퓨터 검사 작동방식 및 설명 에이전트 없는 검사의 경우 클라우드 API를 사용하여 데이터를 수집합니다. (에이전트를 사용 검사 :   런타임에 운영 체제 API를 사용하여 보안 관련 데이터를 지속적으로 수집합니다.) 클라우드용 Defender는 VM 디스크의 스냅샷을 만들고 스냅샷에 저장된 운영 체제 구성 및 파일 시스템에 대한 대역 외의 심층 분석을 수행합니다. 복사된 스냅샷은 VM에 동일한 지역에 유지되며 VM은 검사의 영향을 받지 않습니다.  에이전트 없는 검사 테스트Microsoft docs에는 24시간 이내에 보안 경고를 볼 수 있.. AZURE/보안 2024. 6. 14.

• 

  [Defender for Cloud] 사용자 지정 작업 영역으로 로그 내보내기 다음은, Arc 에이전트를 통해 Azure 에 온보딩한 서버에 대한 Defender for Cloud를 통해 대상서버를 보호받을 수 있는 방법입니다. 이 포스팅에서는 기본 작업영역이 아닌 사용자 지정 작업영역에 로그들을 쌓도록 설정하는 방법을 안내드리겠습니다. Log Management 테이블 이 테이블의 경우, Event를 쌓고 있는데 이것은 DCR 생성시에 로그 수집 수준을 선택하게 되고, 해당 로그를 사용자 지정영역에 쌓도록 설정하는 것은 DCR을 구성하여 해당 리소스를 연결하면 됩니다. Security and Audit 테이블 이 테이블은 보안 로그 수집 테이블입니다. 설정방법은, Defender for Cloud의 환경설정에서 사용자 지정 Log analytics workspace에 대한 Def.. AZURE/보안 2024. 1. 30.

• 

  [Microsoft Sentinel] AMA로 Syslog 보내기 AMA는 Azure Monitor Agent로, 이제 과거에 사용하던 MMA를 대신하여 이 에이전트를 사용하여 Log Analytics 작업영역으로, 로그를 수집할 수 있습니다.sentinel로 로그 수집을 하는 방법에는 여러가지가 있지만, 이 포스트에서는 AMA를 사용하여 syslog 를 전달하는 방법을 설명드리겠습니다. 이 포스팅에서는 rsyslog 서버 구성은 설명하지 않겠습니다. 다른 포스팅을 참고해주세요 링크 : https://mara7.tistory.com/185#Syslog 테이블로 로그 전달syslog를 log analytics 로 전달하는 방법은 간단합니다.이 구성은, 전제조건이 log forwarder서버가 Azure VM일 경우 입니다.Azure에 Log forwarder서버가 구성되.. AZURE/보안 2023. 12. 29.

• 

  [Microsoft Sentinel] 메뉴 설명 2 - 콘텐츠 관리 및 구성 콘텐츠 관리콘텐츠 허브 MS에서 제공하는 콘텐츠를 사용할 수 있습니다.데이터 커넥터, 통합 문서, 분석 및 자동화 등을 제공합니다.구성데이터 커넥터Microsoft 제품 및 타사 제품에 대한 데이터 커넥터를 제공하여 custom logs 를 만들고, 이를 바탕으로 센티넬에서 해당 로그를 분석할 수 있습니다.커넥터가 없는 제품에 대해서는 api 를 통해서 연결할 수 있습니다. 분석커넥터를 통해 데이터원본을 연결한 후에 사용자 환경에서 특정 이벤트 또는 이벤트 집합을 검색할 수 있습니다.검색 한 후에 특정 이벤트 임계값 또는 조건에 도달하면 경고를 발생시킵니다.SOC가 심사 및 조사 할 인시던트를 생성하고 자동화된 추적 및 수정 프로세스를 사용하여 위협에 대응합니다. 관심목록데이터 원본의 데이터와 Micro.. AZURE/보안 2023. 12. 14.

• 

  [Microsoft Sentinel] 메뉴 설명 1 - 일반 탭 및 위협관리 일반로그센티넬 log analytics 작업 영역에서 로그 검색을 할 수 있습니다.새 경고 규칙 탭으로 azure monitor 경고나 sentinel 경고 규칙을 생성할 수 있습니다.위협관리인시던트관련 경고의 컬렉션입니다. 분석 규칙에 의하여 위협 발생시 인시던트가 생성됩니다. 분석 규칙에 의해 생성되거나 자체 경고를 생성하는 타사 보안 제품에서 가져온 경고를 기반으로 각 인시던트가 생성되거나 추가됩니다.심각도, 상태, MITRE ATT&CK 전술 및 기술과 같은 경고 속성을 상속합니다.통합문서데이터를 시각화하는 도구입니다.대시보드이며, 한눈에 다양한 소스에서 수집된 데이터를 볼 수 있습니다.보고싶은 데이터를 한눈에 볼 수 있다는 것이 장점입니다.헌팅데이터원본에 대한 위협을 사전 예방 검색을 할 수 있.. AZURE/보안 2023. 12. 13.

• 

  [Microsoft Sentinel] 센티넬 비용 (수집할 데이터 양이 제일 큰 변수!) 센티넬 비용센티넬에서 중요한 것은 수집비용이 두번 청구된다는 것입니다.Sentinel은 log analytics 작업 영역을 기반으로 하는 솔루션이기 때문에, ① 기본 작업 공간, ② Sentinel에 대한 수집 비용 이렇게 두번 청구됩니다.① 수집 비용② 센티넬 대한 수집 비용Azure 가격데이터 수집평가판 가격 새 작업 영역은 처음 31일 동안 무료로 최대 10GB/일의 로그 데이터를 수집할 수 있습니다 . 31일 평가판 기간 동안 Log Analytics 데이터 수집 및 Microsoft Sentinel 요금이 모두 면제됩니다. 이 무료 평가판에는 Azure 테넌트당 작업 영역이 20개로 제한됩니다.무료 데이터 소스Azure AD ID 보호Azure 활동 로그오피스 365클라우드용 Microsoft.. AZURE/보안 2023. 12. 11.

• 

  [Microsoft Sentinel] 센티넬의 데이터 수집에 대한 이해 어떻게 LA로 로그를 전송할 수 있는가?에 대한 포스팅입니다.Microsoft Sentinel의 데이터 수집 흐름기본 베이스는 위와 같습니다.센티넬에 데이터를 수집하기 위한 방법은 세 가지가 있습니다.기본 제공 커넥터기본 제공 커넥터의 경우 제공되는 로그 테이블이 있으며 sentinel의 작업 영역에 로그가 쌓이게 된다.커넥터 설치만 하면 되어서 연결이 가장 쉽습니다.에이전트 기반 커넥터에이전트 기반의 커넥터의 경우 현재 두 가지가 사용 중 입니다.AMA 에이전트 : 이 에이전트는 azure monitoring 에이전트로 syslog, windowsevent 를 연결할 수 있습니다.MMA 에이전트 : 레거시 에이전트고 내년 4월 쯤 없어지고 AMA로 통합될 예정입니다.AMA vs MMA 차이점MMA 20.. AZURE/보안 2023. 12. 7.

• 

  [Microsoft Sentinel] AMA 커넥터를 사용하여 "Microsoft Sentinel" 스트림 CEF 로그 전달 - 2 (DCR 구성) rsyslog 서버 구성까지 지난 포스팅에서 완료했습니다. 이제 rsyslog 서버에 AMA agent를 구성하고, sentinel에 연결시키는 작업을 진행해보도록 하겠습니다.실제 구성하면서 캡쳐를 못해서, 아래의 이미지는 Microsoft Docs의 이미지를 참고하였습니다.구성도DCR (그림의 1번 진행)Syslog 및 CEF 로그를 Sentinel로 수집하기 위해 디바이스에서 로그를 수집하고 Microsoft Sentinel 작업 영역으로 전달하는 Linux 컴퓨터(syslog Forwarder) 를 지정하고 구성해야 합니다. 현재 포스팅에서는 Azure VM을 사용하여 Syslog Fowarder을 구성했습니다. DCR의 역할은 AMA을 Syslog Fowrder 서버에 설치하여 로그를 수집하고 구.. AZURE/보안 2023. 12. 6.