ELK를 사용한 호스트 해킹 시도 감지

튜토리얼
ElasticSearch Kibana

SIEM이란 무엇인가?

SIEM은 보안 정보 및 이벤트 관리를 의미합니다. 이는 네트워크 하드웨어 및 애플리케이션에서 생성되는 보안 경고의 실시간 분석을 제공하는 소프트웨어 솔루션입니다. SIEM은 라우터, 서버, 애플리케이션과 같은 다양한 소스의 로그 데이터를 수집한 후 이 데이터를 상관 분석하고 분석하여 보안 위협을 식별합니다.

SIEM은 기업이 보안 자격을 개선하는 데 도움을 줄 수 있습니다 IT 인프라 전체에서 보안 이벤트의 중앙집중식 보기를 제공함으로써 말이죠. 보안 분석가가 신속하게 보안 사고를 식별하고 대응할 수 있게 해주며 규정 준수를 위한 자세한 보고서를 제공합니다.

SIEM 솔루션의 주요 기능에는 다음이 포함됩니다.

  1. 로그 수집 및 분석
  2. 실시간 이벤트 상관 관계 및 경고
  3. 사용자 및 엔터티 동작 분석
  4. 위협 인� telligence 통합
  5. 규정 준수 보고

SIEM은 방화벽, 침입 탐지 시스템, 바이러스 백신 소프트웨어와 같은 다른 보안 솔루션과 결합하여 포괄적인 보안 모니터링 및 사고 대응 기능을 제공하는 데 자주 사용됩니다.

ELK가 무엇인가요?

ELK는 로그 관리 및 분석을 위한 오픈 소스 소프트웨어 도구 세트인 Elasticsearch, Logstash 및 Kibana의 약자입니다.

Elasticsearch는 대량의 데이터를 빠르게 검색하고 효율적으로 저장할 수 있는 분산 검색 및 분석 엔진입니다. 확장 가능한 구조로 설계되어 실시간으로 많은 수의 쿼리와 인덱싱 작업을 처리할 수 있습니다.

Logstash는 로그 및 기타 데이터를 여러 소스로부터 수집하고, 데이터를 Elasticsearch로 보내기 전에 변환하고 풍부하게 만들 수 있는 데이터 수집 및 처리 도구입니다. 이러한 소스에는 로그 파일, syslog 및 기타 데이터 소스가 포함됩니다.

Kibana는 Elasticsearch에 저장된 데이터를 시각화하고 분석할 수 있는 웹 기반 사용자 인터페이스입니다. 라인 그래프, 바 차트, 열 맵 등과 같은 다양한 상호 작용 가능한 시각화 도구와 대시보드, 알림 등의 기능을 제공합니다.

이러한 세 가지 도구를 함께 사용하면 로그 및 기타 유형의 데이터를 관리하고 분석하는 강력한 플랫폼을 구축할 수 있으며, 이를 일반적으로 ELK 스택 또는 Elastic 스택이라고 합니다. ELK 스택은 IT 운영, 보안 모니터링 및 비즈니스 분석에서 많은 양의 데이터로부터 통찰력을 얻기 위해 널리 사용됩니다.

SIEM 데이터를 ELK로 수집

SIEM 데이터를 ELK 스택으로 수집하는 것은 SIEM의 보안 이벤트 관리 기능을 ELK의 로그 관리 및 분석 기능과 결합하려는 기관에게 유용할 수 있습니다.

다음은 SIEM 데이터를 ELK로 수집하기 위한 고려 사항입니다:

  1. SIEM을 구성하여 로그 데이터를 ELK 스택의 일부인 Logstash로 전송하세요.
  2. Logstash 구성 파일을 생성하여 SIEM 데이터의 입력, 필터 및 출력을 정의합니다.
  3. Logstash를 시작하고 SIEM 데이터가 올바르게 수신되고 처리되고 있는지 확인합니다.
  4. Elasticsearch를 구성하여 SIEM 데이터를 수신하고 저장합니다.
  5. SIEM 데이터를 표시하는 Kibana 시각화 및 대시보드를 생성합니다.

다음은 SIEM에서 Syslog 메시지를 수신하여 Elasticsearch로 전송하는 Logstash 구성 파일의 예입니다.

Python

  

	input {
	  syslog {
	    type => "syslog"
	    port => 5514
	  }
	}
	filter {
	  if [type] == "syslog" {
	    grok {
	      match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
	      add_field => [ "received_at", "%{@timestamp}" ]
	      add_field => [ "received_from", "%{host}" ]
	    }
	  }
	}
	
	output {
	  elasticsearch {
	    hosts => ["localhost:9200"]
	    index => "siem"
	  }
}

Logstash가 구성되고 실행되면 SIEM 데이터가 Elasticsearch에 수집되어 Kibana에서 시각화하고 분석할 수 있습니다. 적절한 보안 조치를 통해 SIEM 및 ELK 환경을 보호하고 보안 이벤트에 대한 모니터링 및 경고를 설정하는 것이 중요합니다.

호스트 해킹 시도 감지

ELK에서 SIEM을 사용하여 호스트 해킹 시도를 감지하려면 시스템 로그 및 네트워크 트래픽을 모니터링 및 분석하여 해킹 시도를 나타낼 수 있는 의심스러운 활동을 식별합니다. 다음은 ELK에서 SIEM을 사용하여 호스트 해킹 시도 감지를 설정하는 고급 단계입니다.

  • 호스트를 구성하여 시스템 로그 및 네트워크 트래픽을 중앙 집중식 로그 수집 시스템으로 전송합니다.
  • Logstash를 설정하여 호스트에서 로그 및 네트워크 트래픽 데이터를 수신하고 구문 분석합니다.
  • 구문 분석된 로그 데이터를 저장하도록 Elasticsearch를 구성합니다.
  • 로그 데이터를 분석하고 잠재적인 해킹 시도를 식별하기 위한 대시보드 및 경고를 생성하는 데 Kibana를 사용합니다.

호스트 해킹 시도를 감지하는 데 사용할 수 있는 특정 기술은 다음과 같습니다:

  • 모니터링 로그인 실패 시도: 단일 IP 주소에서 반복적인 로그인 실패 시도를 찾아보세요. 이는 강제 암호 시도를 나타낼 수 있습니다. Logstash를 사용하여 시스템 로그를 파싱하여 로그인 실패 이벤트를 찾고, Kibana 대시보드나 알림을 생성하여 과도한 로그인 실패 시도를 모니터링하세요.
  • 的可疑 네트워크 트래픽 모니터링: 알려진 악의 IP 주소나 도메인으로의 네트워크 트래픽을 찾아보세요. Logstash를 사용하여 네트워크 트래픽 데이터를 파싱하고, Kibana 대시보드나 알림을 생성하여 의심스러운 트래픽 패턴을 모니터링하세요.
  • 파일 시스템 변경 모니터링: 시스템 파일이나 설정에 대한 비授权 변경을 찾아보세요. Logstash를 사용하여 파일 시스템 변경 이벤트를 파싱하고, Kibana 대시보드나 알림을 생성하여 비授权 변경을 모니터링하세요.
  • 의심스러운 프로세스 활동 모니터링: 높은 권한으로 실행 중인 프로세스나 이상한 동작을 수행하는 프로세스를 찾아보세요. Logstash를 사용하여 프로세스 이벤트를 파싱하고, Kibana 대시보드나 알림을 생성하여 의심스러운 프로세스 활동을 모니터링하세요.

이러한 기법을 구현하고 로그와 네트워크 트래픽을 정기적으로 모니터링함으로써, 조직은 ELK의 SIEM을 사용하여 호스트 해킹 시도를 탐지하고 대응하는 능력을 향상시킬 수 있습니다.

ELK에서 호스트 해킹 시도를 탐지하는 알림 설정

ELK에서 호스트 해킹 시도를 탐지하는 알림을 설정하려면 다음과 같은 일반적인 단계를 따를 수 있습니다:

  • Kibana에서 호스트 해킹 시도 이벤트를 필터링하는 검색 쿼리를 생성하세요. 예를 들어, 로그인 실패 시도를 탐지하는 다음과 같은 검색 쿼리를 사용할 수 있습니다:
Python

  

from elasticsearch import Elasticsearch

es = Elasticsearch()

search_query = {
  "query": {
    "bool": {
      "must": [
        {
          "match": {
            "event.dataset": "auth"
          }
        },
        {
          "match": {
            "event.action": "failed_login"
          }
        }
      ]
    }
  }
}

res = es.search(index="siem", body=search_query)

for hit in res['hits']['hits']:
    print(hit['_source'])
  • 검색 쿼리를 생성한 후, Kibana 저장 검색으로 저장하세요.
  • Kibana 경보 및 작업 인터페이스로 이동하여 새 경보를 생성하세요. 2단계에서 생성한 저장된 검색을 경보의 기초로 선택하세요.
  • Graphical user interface, application Description automatically generated 
  • 특정 임계값이 충족될 때 경보가 트리거되도록 구성하세요. 예를 들어, 5분 간격 내에 5번 이상의 로그인 실패 시도가 있을 때 경보가 트리거되도록 설정할 수 있습니다.
  • 경보가 트리거될 때 이메일이나 Slack 메시지와 같은 알림을 보내도록 구성하세요.
  • 경보가 예상대로 작동하는지 테스트하세요.

경보가 구성되면 실패한 로그인 시도와 같은 Host Hack Attempt 이벤트를 감지할 때 자동으로 트리거됩니다. 이를 통해 조직은 보안 위협을 효과적으로 감지하고 대응할 수 있습니다. 경보를 정기적으로 검토하고 업데이트하여 가장 관련성 높고 중요한 보안 이벤트를 감지하는 데 필요합니다.

결론

ELK를 사용하여 호스트 해킹 시도를 감지하는 것은 조직의 보안 자산을 강화하는 효과적인 방법입니다. ELK는 로그 수집, 파싱, 저장, 분석 및 경보 기능의 강력한 조합을 제공하여 실시간으로 호스트 해킹 시도에 대응할 수 있게 해줍니다.

시스템 로그 및 네트워크 트래픽을 모니터링하고 고급 검색 쿼리 및 경보 메커니즘을 사용하여 ELK는 실패한 로그인 시도, 의심스러운 네트워크 트래픽, 파일 시스템 변경 및 의심스러운 프로세스 활동을 포함하여 다양한 유형의 호스트 해킹 시도를 감지하는 데 도움이 될 수 있습니다.

ELK를 사용하여 강력한 호스트 해킹 시도 감지 전략을 구현하려면 신중한 계획, 구성 및 테스트가 필요합니다. 그러나 적절한 전문 지식과 도구를 갖춘 기관은 실시간 네트워크 가시성을 제공하고 사고 대응 시간을 개선하며 보안 위반이 발생하기 전에 예방하는 포괄적인 보안 모니터링 시스템을 구축할 수 있습니다.

Source:
https://dzone.com/articles/host-hack-attempt-detection-using-elk