Additional Manual

You are here:-Additional Manual

Other Manual

Powershell 스크립트 블록 로깅 켜기

동영상 챕터 요약 - 00:38 ~ 01:10 → 01_PowerShell ver.5 이상인 경우 - 01:11 ~ 03:47 → 02_PowerShell 하위버전인 경우(2012R2) - 03:48 ~ 04:00 → 03_PowerShell 하위버전인 경우(그 외 OS) Powershell Command - Powershell 버전 확인 : $PSVersionTable.PSVersion.Major - Windows OS 버전 확인 : Get-WmiObject Win32_OperatingSystem | Select -Property Name - PowerShell 스크립트 블록 로깅

[Log Collector] Web access 로그 syslog 전송하기

시나리오는 다음과 같습니다. 클라이언트의 웹 액세스(access) 로그를 “PLURA Log Collector 서버”  이용하여 전송하는 방법   * PLURA Log Collector 서버 이용 장점은 클라이언트(Web Server) 에서 암호화, 압축하지 않고 syslog 로 바로 전송하므로 리소스 사용량 (CPU, Memory 등)을 최소화할 수 있습니다.   1. 클라이언트: Apache Httpd 웹 접속 로그를 PLURA 생성한 로그 * 환경: CentOS 7 (64비트),

[PLURA Forensic] 운영체제 로그 업로드 수집 경로 및 사용 방법

PLURA Forensic은 수집된 시스템(운영체제)의 로그를 업로드하여 분석을 할 수 있는 서비스입니다. 업로드된 로그는 사전에 정의된 마이터 어택 등 수천개의 이상행위를 탐지할 수 있는 정책에 따라 자동 분석되므로 종래의 로그 분석 업무 방식 대비 99.9999%이상의 업무 부하를 줄일 수 있습니다. PLURA Forensic에 로그 업로드를 하기 위한 운영체제(OS) 종류별 로그 수집 경로는 아래와 같습니다. 1. 윈도우즈 C:\Windows\System32\winevt\Logs

Apache Tomcat access 로그 PLURA 로깅 지원

Tomcat 의 access 로그를 PLURA 로깅(logging) 연동 설정하는 방법입니다.   Tomcat server.xml 파일에 로깅 관련 설정을 수정합니다. # Change for PLURA log format <Valve className="org.apache.catalina.valves.AccessLogValve" directory="/var/log/plura" rotatable="false" renameOnRotate="false" prefix="weblog" suffix=".log" pattern="{"Remote-addr": "%a", "X-forwarded-for": "%{X-Forwarded-For}i", "Request-date": "%{dd/MM/yyyy:HH:mm:ss.SSS}t +0900", "Method": "%m", "Request": "%r", "Host": "%A", "Uri": "%U", "Cookie": "%{Cookie}i", "Referer": "%{Referer}i", "User-Agent": "%{User-Agent}i", "Status": "%s", "Resp-Content-Length": "%b"}"

응용프로그램 로그 syslog 전송하기 (예제 톰캣 catalina.out)

시나리오는 다음과 같습니다. 클라이언트의 응용프로그램 로그를 "PLURA Log Collector 서버"  이용하여 전송하는 방법 응용프로그램 로그 중에 이번 예제에서는 Tomcat8 의 catalina.out 을 사용합니다. * PLURA Log Collector 서버 이용 장점은 클라이언트(Web Server) 에 별도 로그를 생성하지 않고 syslog 로 바로 전송하므로 리소스 사용량 (CPU, Memory 등)을 최소화할 수 있습니다.           1.

프록시 시스템 squid 를 위한 PLURA 로깅 지원

Forward 프록시로 squid 사용할 때 PLURA 로깅(logging) 연동 설정하는 방법입니다.   httpd 와 유사한 로깅 방법은 다음과 같습니다. logformat httpd %>a %[ui %[un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st "%{Referer}>h" "%{User-Agent}>h" %Ss:%Sh access_log /var/log/squid/access.log httpd   json 으로 PLURA 로깅 형태로 저장하는 방법은 다음과 같습니다. #vi /etc/squid/squid.conf forwarded_for on acl has-xff req_header X-Forwarded-For ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9a-f]+)?:([0-9a-f:]+)?:([0-9a-f]+|0-9\.]+)?\])) #

Public IP주소 확인하는 방법

재택 등 근무 형태 변화, 기업 외부에서 접속 가능 확대로 퍼블릭 클라우드 SaaS 서비스가 일상화된 작금의 시대에 퍼블릭 클라우드 SaaS 서비스는 자체 보안 시스템이 매우 중요합니다. PLURA 웹 접속 時 보안 시스템 中 하나로 접속 IP 주소에 대한 제한을 설정할 수 있습니다. 이를 위하여는 Public IP 주소를 확인하여야 합니다. 간혹 자신이 사용하는 IP 주소와 Public

AWS RHEL 8 에서 Proxy 환경으로 PLURA 사용 시 설정

PLURA 클라우드 서비스 접속을 위하여 Proxy 시스템을 두어 운영하는 경우, 다음과 같이 Proxy 설정을 해야 합니다. - vi /etc/profile.d/plura.sh http_proxy=http://(Proxy IP주소):(Proxy 포트) https_proxy=$http_proxy no_proxy="127.0.0.1, amazonlinux.ap-northeast-2.amazonaws.com" export http_proxy https_proxy no_proxy - 예시   - 프록시를 경유한 접속 테스트 # curl -v https://repo.plura.io  

재전송공격을 이용한 모의해킹 테스트

▣ PLURA Manual - 재전송 공격 재전송공격이란, 탐지 로그를 이용하여 실제 공격을 확인하는 기능으로 모의해킹의 일환입니다. 재전송공격으로 모의 해킹을 하는 이유는 공격의 성공과 실패를 확인하기 위함입니다. SQL 인젝션 공격의 성공은 매우 심각한 위험에 노출되므로 성공에 대하여 반드시 확인해야 하지만, 수많은 공격 로그 중에서 모의해킹을 테스트하기가 매우 어렵습니다. 프루라의 재전송공격은 이러한 불편함을 제거하고 업무 효율의 극대화를

PLURA 유저별 브라우저 저장 기능

PLURA 에서는 유저별 브라우저 저장 기능을 제공하고 있습니다. 브라우저별 캐시가 저장되어 새로 창을 열었을 경우에도 아래의 설정이 유지됩니다. 1. 왼쪽 상단에 메뉴노출 버튼 클릭 시, 해당 설정이 유지됩니다. 1-1. 메뉴 노출 클릭 1-2. 메뉴 숨김 상태로 설정이 유지됩니다. 2. 각각의 페이지별 라인 수 노출 설정이 유지됩니다.(적용 영역 : 보안탐지, 필터탐지, 전체로그, 필터, 방어, 서버, 추출로그)