기능소개
PLURA에는 어떤 기능들이 있을까요? 다양하고 유용한 PLURA 서비스를 경험해보세요. 계속하여 새로운 영상이 업데이트 될 예정입니다.
PLURA에는 어떤 기능들이 있을까요? 다양하고 유용한 PLURA 서비스를 경험해보세요. 계속하여 새로운 영상이 업데이트 될 예정입니다.
PLURA V5의 보안필터 중 홈페이지 위변조는 등록된 홈페이지 파일명이나 파일의 내용이 변경되는 것을 탐지하는 필터입니다. 홈페이지 위변조는 운영체제(Windows, CentOS)별 필터 등록이 가능합니다. 아래는 등록 예시입니다. (시스템 IP를 제외한 전체 경로 입력) ※ 아래 참고 이미지처럼 type=SYSCALL로 노출되는 경우, 변조된 파일 경로까지는 확인할 수 없습니다. (OS 버전별로 차이가 있을 수 있습니다.)
1. redis.conf 수정 > 사전 Syslog 설치 필요 > Config 위치 확인 loglevel notice syslog-enabled yes syslog-facility local7 2. Redis 데몬 재시작 service redis restart 3. PLURA V5에서 확인 로그 샘플 예) 위 내용을 활용해서 필터를 등록하면 탐지로그를 확인할 수 있습니다.(Syslog 필터등록 바로가기)
1. postgresql.conf 수정 > 사전 Syslog 설치 필요 > Config 위치 확인 [config 경로 예시] /var/lib/pgsql/9.6/data/postgresql.conf [수정 예시] # ERROR REPORTING AND LOGGING 하단에서 수정 log_destination = 'stderr' 라인을 주석처리 log_destination = 'syslog' 라인 추가 # These are relevant when logging to syslog: 하단의 다음 4라인 주석 해제 #syslog_facility = 'LOCAL0' #syslog_ident = 'postgres' #syslog_sequence_numbers
1. redis.conf 수정 > 사전 Syslog 설치 필요 > Config 위치 확인 loglevel notice syslog-enabled yes syslog-facility local7 2. Redis 데몬 재시작 service redis restart 3. PLURA V5에서 확인 로그 샘플 예) 위 내용을 활용해서 필터를 등록하면 탐지로그를 확인할 수 있습니다.(Syslog 필터등록 바로가기)
1. postgresql.conf 수정 > 사전 Syslog 설치 필요 > Config 위치 확인 [config 경로 예시] /var/lib/pgsql/9.6/data/postgresql.conf [수정 예시] # ERROR REPORTING AND LOGGING 하단에서 수정 log_destination = 'stderr' 라인을 주석처리 log_destination = 'syslog' 라인 추가 # These are relevant when logging to syslog: 하단의 다음 4라인 주석 해제 #syslog_facility = 'LOCAL0' #syslog_ident = 'postgres' #syslog_sequence_numbers
고객 시스템에 취합되고 있는 이벤트 로그 중 PLURA V5가 선정한 로그를 제공합니다. 통계 항목별로 일별, 주별, 월별 또는 사용자가 원하는 기간을 선택하여 그래프로 한눈에 볼 수 있습니다. 계속하여 새로운 항목이 업데이트될 예정입니다. 통계 IP주소 : http://blog.plura.io/?p=9827 Login : http://blog.plura.io/?p=13535 업로드용량 : http://blog.plura.io/?p=11376 워드클라우드 : http://blog.plura.io/?p=10456 히트맵 : http://blog.plura.io/?p=10463 박스플롯 : http://blog.plura.io/?p=10451
1. mysql.conf 다운로드 rsyslog 사용 curl https://repo.plura.io/v5/module/rsyslog/80-mysql.conf -o /etc/rsyslog.d/80-mysql.conf 2. 80-mysql.conf 수정 > mysql error 로그 위치 확인 #vi /etc/rsyslog.d/80-mysql.conf 3. rsyslog 데몬 재 시작 service rsyslog restart 4. PLURA V5에서 확인하기 위 내용을 활용해서 필터를 등록하면 탐지로그를 확인할 수 있습니다.(Syslog 필터등록 바로가기)
응용프로그램 로그 中 특별한 키워드를 실시간 탐지하고 싶은 경우 어떻게 하면 될까요? 예를 들어, 아래와 같은 응용프로그램 로그 中 2020010100037 키워드를 실시간 탐지할 경우입니다. 1. 수집되는 로그 확인하기 2. conf 설정하기(rsyslog 사용) ※ 80-application.conf → conf 파일 생성하기 # vi /etc/rsyslog.d/80-application.conf 3. conf 파일 생성 예시 ※ File = "로그 경로", Tag = "로그 태그",
해커가 웹사이트를 공격한 후 필요한 정보를 탈취한 후, 이차적인 피해를 위해 홈페이지에 악성코드를 심는다. 혹은 웹 쉘을 이용하여 공격 성공된 사이트에 대하여 지속적인 연결을 유지하려고 한다. 이러한 공격은 홈페이지 위변조를 통해 이루어지는데. 인터넷 기사에 따르면 한국인터넷진흥원(KISA) 에서 2015년부터 연간 1,000회 이상씩 꾸준히 홈페이지 위변조 공격이 발생하고 있다.[1] 하지만 기존 SIEM 이나 보안장비들은 이러한 공격에 대하여