Other Manual
1. 사전 조사 ps -ef|grep httpd ps -ef|grep apache → apache 실행파일 경로/ 명령 파라미터 확인 (=readlink /proc/$(pid)/exe) apache process owner 확인 httpd|apache2 -V → apache 설정파일 경로 확인 httpd|apache2 -v → apache 버전 확인 1-1) 서비스 등록 확인 service httpd|apache2 status 1-2) 재설정 실험 service httpd|apache2 reload ${apache2dir}/bin/apachectl graceful ${apache2dir}/bin/httpd -k graceful
1. 사전 조사 1-1) nginx 실행 여부 검사 ps -ef|grep nginx nginx 실행파일 경로/ 명령 파라미터 확인 (=readlink /proc/$(pid)/exe) nginx 설정파일 경로 확인 (nginx -t) nginx process owner 확인 1-2) 서비스 등록 확인 service nginx status 1-3) 재설정 실험 service nginx reload nginx -s 1-4) 설정 파일 확인 /etc/nginx/nginx.conf http { include conf.d/*.conf … →
1. PLURA V5 PoC 진행 프로세스 안내 1-1. PoC 진행 프로세스 안내 1-2) 회원 가입 로그인 後 1-3) 고객지원 요청 신청 1-4) 동료 초대 2) 에이전트 설치 (Install Agents) 1-2. PLURA V5 회원 가입 1) 회원가입 (브라우저 크롬 권장) ▶ https://www.plura.io/ 2) 이메일 승인 > 가입 완료 (체험 라이선스 14일) 3) 체험 라이선스 연장
PLURA V5는 응용프로그램에 대한 로그를 업로드 설정을 이용하여 수집할 수 있습니다. 다음은 Apache error log, Tomcat catalina.out 의 로그 업로드 예시입니다. 1. 응용프로그램 로그업로드를 위해서는 관리 > 목록 > 응용프로그램 태그를 등록해주어야 합니다. 2. 수집할 경로를 파악하고 있어야 합니다.
에이전트 설치로 적용된 감사정책을 복원하는 방법을 안내해드립니다. 아래의 링크를 참고하여 OS에 맞는 감사 정책 제거 스크립트를 실행합니다. ▶ https://github.com/QubitSecurity/EDR ※ 사용자 정의 홈페이지 위변조 필터의 경우, 사용자가 직접 삭제를 해주셔야 합니다.
동영상 챕터 요약 - 00:38 ~ 01:10 → 01_PowerShell ver.5 이상인 경우 - 01:11 ~ 03:47 → 02_PowerShell 하위버전인 경우(2012R2) - 03:48 ~ 04:00 → 03_PowerShell 하위버전인 경우(그 외 OS) Powershell Command - Powershell 버전 확인 : $PSVersionTable.PSVersion.Major - Windows OS 버전 확인 : Get-WmiObject Win32_OperatingSystem | Select -Property Name - PowerShell 스크립트 블록 로깅
시나리오는 다음과 같습니다. 클라이언트의 웹 액세스(access) 로그를 “PLURA V5 Log Collector 서버” 이용하여 전송하는 방법 * PLURA V5 Log Collector 서버 이용 장점은 클라이언트(Web Server) 에서 암호화, 압축하지 않고 syslog 로 바로 전송하므로 리소스 사용량 (CPU, Memory 등)을 최소화할 수 있습니다. 1. 클라이언트: Apache Httpd 웹 접속 로그를 생성 * 환경: CentOS 7 (64비트),
PLURA V5 Forensic은 수집된 시스템(운영체제)의 로그를 업로드하여 분석을 할 수 있는 서비스입니다. 업로드된 로그는 사전에 정의된 마이터 어택 등 수천개의 이상행위를 탐지할 수 있는 정책에 따라 자동 분석되므로 종래의 로그 분석 업무 방식 대비 99.9999%이상의 업무 부하를 줄일 수 있습니다. PLURA V5 Forensic에 로그 업로드를 하기 위한 운영체제(OS) 종류별 로그 수집 경로는 아래와 같습니다. 1.
Tomcat 의 access 로그를 PLURA V5 로깅(logging) 연동 설정하는 방법입니다. Tomcat server.xml 파일에 로깅 관련 설정을 수정합니다. # Change for PLURA log format <Valve className="org.apache.catalina.valves.AccessLogValve" directory="/var/log/plura" rotatable="false" renameOnRotate="false" prefix="weblog" suffix=".log" pattern="{"Remote-addr": "%a", "X-forwarded-for": "%{X-Forwarded-For}i", "Request-date": "%{dd/MM/yyyy:HH:mm:ss.SSS}t +0900", "Method": "%m", "Request": "%r", "Host": "%A", "Uri": "%U", "Cookie": "%{Cookie}i", "Referer": "%{Referer}i", "User-Agent": "%{User-Agent}i", "Status": "%s", "Resp-Content-Length":
시나리오는 다음과 같습니다. 클라이언트의 응용프로그램 로그를 "PLURA V5 Log Collector 서버" 이용하여 전송하는 방법 응용프로그램 로그 중에 이번 예제에서는 Tomcat8 의 catalina.out 을 사용합니다. * PLURA V5 Log Collector 서버 이용 장점은 클라이언트(Web Server) 에 별도 로그를 생성하지 않고 syslog 로 바로 전송하므로 리소스 사용량 (CPU, Memory 등)을 최소화할 수 있습니다.
