아임노드

오늘은 보안관제에 이어 탑서트(Top-CERT) 실무에 대한 강의다.- 정상로그를 많이 봐야 악성 로그인지 알 수 있다.  > For security Monitoring(보안 관제) 카테고리 SOAR와 SIEM이 헷갈려서 한 번 비교 정리할 필요성을 느꼈다.SIEM (데이터 수집, 위협 탐지)SOAR (수집된 데이터를 분석/대응)내가 생각하기로 SOAR를 쓴다고 SIEM을 대체하는게 아니라두 가지를 모두 연동/연계해서 사용해야 보다 효과적인 방어가 가능하다. 정보보안 관제 자동화 솔루션이란? (SOAR)보안 관제 및 보안 운영 자동화를 위한 기술 및 솔루션 SOAR단일 시스템 또는 단일 플랫폼 안에서 다양한 업무와 도구 간의 작업을 조정, 실행 및 자동화하는데 도움을 주는 솔루션을 말한다.SOARimno..

비교 분석 eval이 명령어에 사용하는 함수는 검색 결과 값의 변환, 검증을 수행하며 함수 실행 결과 값을 반환하는 형식...| eval [반환값_저장변수] = 함수(인자1,인자2..)eval 함수는 문자열을 인자로 취하고 연산 결과를 반환문자열은 " "로 감싸서 표시사용Splunk가 수집하는 모든 로그에서 완벽한 필드 추출은 매우 어려움그렇기에 때로는 원하는 값을 추출하려고 필드 값을 다시 조작해야 하는 상황 종종 발생이때 eval 명령어 함수가 요긴하게 사용됨 (많이 연습하도록!)case(X,"Y",...)여러 개의 조건을 검증할 때 사용첫 번째 인자가 참인 경우 두 번째 인자의 내용 반환세 번째 인자가 참이면 네 번째 인자가 실행월 이름을 기반으로 분기(quarter)를 반환하는 코드index="b..

보안 관제 및 보안 운영 자동화를 위한 기술 및 솔루션 SOAR단일 시스템 또는 단일 플랫폼 안에서 다양한 업무와 도구 간의 작업을 조정, 실행 및 자동화하는데 도움을 주는 솔루션을 말한다.SOAR 솔루션은 탐지 이벤트를 입력 받아서, 보안 분석가가 수동으로 조사/분석, 대응/조치했던 업무들을 자동으로 처리해주는 시스템 (스스로 위협을 탐지하는 보안 시스템은 아니다.) SOAR 솔루션과 SIEM(Security Information & Event Management) 솔루션의 구분둘 다 보안 문제를 탐지하고 데이터를 수집하고, 보안 담당자가 문제를 해결하는 데 사용할 수 있는 알림을 처리차이점SIEM 솔루션은 각종 이벤트를 수집하고 탐지 룰을 기반으로 위협을 탐지하는 시스템SOAR는 탐지한 이벤트를 입력..