아임노드

보안 관제 및 보안 운영 자동화를 위한 기술 및 솔루션 SOAR단일 시스템 또는 단일 플랫폼 안에서 다양한 업무와 도구 간의 작업을 조정, 실행 및 자동화하는데 도움을 주는 솔루션을 말한다.SOAR 솔루션은 탐지 이벤트를 입력 받아서, 보안 분석가가 수동으로 조사/분석, 대응/조치했던 업무들을 자동으로 처리해주는 시스템 (스스로 위협을 탐지하는 보안 시스템은 아니다.) SOAR 솔루션과 SIEM(Security Information & Event Management) 솔루션의 구분둘 다 보안 문제를 탐지하고 데이터를 수집하고, 보안 담당자가 문제를 해결하는 데 사용할 수 있는 알림을 처리차이점SIEM 솔루션은 각종 이벤트를 수집하고 탐지 룰을 기반으로 위협을 탐지하는 시스템SOAR는 탐지한 이벤트를 입력..

A형 독감이 유행이라고 한다.내 주변에도 독감에 걸린 사람이 꽤 있다.하지만 나는 아무리 옆사람이 감기로 골골대고 있어도옮겨서 걸리지도 않는다. 그렇지만 난 감기 같은 내부적인 병보다는물리적으로 다쳐서 병원에 간 경우가 더 많은 것 같다ㅎ > 또 오랜만에 정리해보는 취약점 진단 blind SQL Injection 탭으로 이동 2. user ID에 숫자, 문자 넣어보기 -> 여기선 숫자를 넣는 것이 맞음 3. User ID에 쿼리 넣기> 1' and length(database()) = 1 #-> 파란 1을 넣는 이유는 정상적인 데이터" data-og-host="imnode.tistory.com" data-og-source-url="https://imnode.tistory.com/175" data-og-u..

차트 시각화데이터를 시각화하는 차트를 만드려면,검색을 이용해 관련 데이터 추출시각화 원본 데이터를 통계 테이블로 변환원본 로그 데이터로는 차트를 그리는 것이 불가능대표적인 사용 명령어charttimechartstats도 통계 테이블 생성 가능timechart시간에 따른 통계 테이블 생성 (시간에 따른 통계의 추세)시간 필드 x축(위치 불변) / 실제 데이터 y축꺾은선형, 영역형 또는 세로 막대형 차트로 많이 나타난다.timechart span=[ 시간범위 ] 통계함수 by [필드명]index=book sourcetype="access_combined_wcookie"| timechart span=12h count(clientip) as "Access Count"span은 시간 계산 단위를 설정시간 범위 7..

1. dvwa(low) > blind SQL Injection 탭으로 이동 2. user ID에 숫자, 문자 넣어보기 -> 여기선 숫자를 넣는 것이 맞음 3. User ID에 쿼리 넣기> 1' and length(database()) = 1 #-> 파란 1을 넣는 이유는 정상적인 데이터는 일단 앞에 넣어주기-> 빨간 1은 2,3,4,5... 씩으로 하나씩 변경하면서 넣어보기-> 4에서 exits 뜸!-> 데이터베이스 이름 길이는 4이구나를 알 수 있음 4. DB이름 뽑아내기(알파벳 유추)burp로 패킷 수집 > Repeater 로 보내기 > 쿼리 붙여넣기 > send5. 다시 다른 방식으로 확인해보기 URL 구성 확인하고Repeater 부분에 해당 부분 복붙send 후 response값 확인 6. 문자열..

이제 주말에는 약속을 만들지 않겠다 다짐했건만..토요일에 일정이 생겨버렸다.친한 언니가 새로 가게를 오픈하기에 가게 청소랑 셋팅을 도와주기로 했다.아침 일찍 나가기로 했기에 오전에 후딱 하고 오후에는 도서관이나 가야겠다. 오늘도 본 영상 중에'앞을 보면서 막 달리기 전에 나를 되돌아 볼 수 있어야 한다.' 라는 말을 들었다.내가 앞으로 진행될 오프라인 수업과 일을 잘 병행할 수 있을까?너무 지쳐서 다 포기해버리게 되진 않을까 하는 걱정이 많다.두 달간 4-5시간밖에 잘 수 없고, 적게 잔다고 나머지 시간을 온통 프로젝트에 쏟을 수 있는 것도 아니니이도저도 아니게 뒤쳐질까 하는 두려움.. 지금도 이렇게 지치는데!!!하지만 이 불안감 때문에 자꾸 뒤를 돌아보면 정말 이도저도 아니게 될게 분명했다.다시 속으로..

통계 계산 stats 명령어와 함수 사용)각종 통계 함수를 이용해서 데이터를 계산한다.각 함수는 필드명을 인자로 받아서 해당 함수가 제공하는 기능에 따라 값을 반환한다.대표 함수count(X) : X 필드의 개수 반환dc(X) : X 필드의 중복을 제거한 개수 반환sum(X) : X 필드의 총합 반환avg(X) : X 필드의 평균 반환list(X) : X 필드를 목록으로 만들어 반환values(X) : X 필드의 중복을 제거한 목록을 반환max(X) : X 필드의 최댓값 반환median(X) : X 필드의 중앙값 반환min(X) : X 필드의 최솟값 반환var(X) : X 필드의 분산 값 반환stdev(X) : X 필드의 표준편차 반환평균과 중앙값 차이평균은 개별 항목 값을 모두 더한 다음, 해당 총합을..

오늘 수업으로 보안 관제 실무에 대해서 이야기 했다.궁금했던 SIEM이나 SOAR에 대해서도 알아볼 수 있을 것 같다! -> 강의에서 들은 내용 간단히 정리처음에는 환경분석(네트워크 구성도) 보기작성할 보고서 종류 : 일일 관제 보고서, 보안 권고문 -> 보안관제 하면서 하지 말아야 할 것자.기.계.발정적인 업무이다 보니 게을러 질 수 있음!! (체력관리)교육 많이 듣고 초심 잃지 말기 -> 보안관제 개념/이해/목적/유형유형 : 원격/파견/자체/하이브리드/쿨라우드보안관제 패러다임 : ESM 기반 > SIEM 기반 > SOAR 기반(Zero Trust)티켓처리 시스템SOAR -> SIEM+티켓처리시스템을 통합하여 자동화Splunk가 가장 안정성 있었다. 역할 다시보기! -- 이외 강의 캡쳐본은 별도 파일에..

검색 처리 언어)SPL(Search Processing Language) : Splunk가 제공하는 검색 전용 언어파이프)파이프 = |앞 명령어 출력 결과를 파이프 뒤 명령어의 입력으로 전송항상 왼쪽 검색어 결과를 기반으로 새로운 명령어 적용하는 것정렬 기능 (Ctrl+\)Ctrl+\를 입력하면 파이프를 기준으로 줄바꿈을 실시자동 기능 권고기본 설정 창 > SPL 편집지 선택 > 고급 편집기 on / 검색 형식 자동 지정 on파이프(|) 입력 시 이를 기준을 자동 정렬됨 검색 명령어 데이터 나열, 변환 명령어)table필드명과 결합해 검색 결과를 테이블 형식으로 보여줌table + 보고자 하는 필드명필드명을 잘못 적으면 해당 필드에는 공란이 보임(입력 오류 의심)ex) index="book" source..

일요일은 오랜만에 친구들을 만나서 맛있는 걸 먹고 들어왔다.공부는 토요일에 조금 했지만, 일요일은 집에서 멀리 나가있느라 늦게 들어왔고포스팅이라도 새벽에 느즈막히 정리를 한다.이제 진짜 약속은 끝!이제 프로젝트도 얼마 남지 않았으니 다음 주말부터는 온통 공부에 신경써야겠다.그래도 친구들을 만나고 오니 힘이 난다! 오늘 들은 좋은 문구가 있어 적어본다.All is well.Everything is working out for my highest good.out of this experience, only good will come and I am safe.  > For security Monitoring(보안 관제) 카테고리 향후 보안로그 통합 분석시스템을 구축-> 보안 이상징후 분석용 검색어를 작성 S..

검색 중점-> 향후 보안로그 통합 분석시스템을 구축-> 보안 이상징후 분석용 검색어를 작성 Splunk에 많은 종류의 로그를 수집하는 이유는 향후에 저장 로그를 검색해서 원하는 결과를 얻기 위함 기본적인 검색 방법)error 입력 > 검색 > 'error'가 포함된 모든 로그 반환와일드카드(*) 사용 > error* > error로 시작하는 단어를 모두 찾을 수 있다.두 단어 이상의 검색은 '단어1 단어2', 띄어쓰기로 구분 > 띄어쓰기로 구분된 두 단어 모두 포함된 검색 결과 반환대소문자 구분하지 않는다 > error, ERROR나 모두 같은 결과 반환 Boolean 연산자 사용)연산자는 반드시 대문자로 입력AND두 가지 조건이 모두 참두 검색어가 모두 포함된 결과를 반환띄어쓰기는 사실 AND 연산자가..