Other Manual
PLURA에서는 유저별 브라우저 저장 기능을 제공하고 있습니다. 브라우저별 캐시가 저장되어 새로 창을 열였을 경우에도 아래의 설정이 유지됩니다. 1. 왼쪽상단에 메뉴노출 버튼 클릭 시, 해당 설정이 유지됩니다. 1-1. 메뉴 노출 클릭 1-2. 메뉴 숨김 상태로 설정이 유지됩니다. 2. 각각의 페이지별 라인 수 노출 설정이 유지됩니다.(적용영역 : 보안탐지, 필터탐지, 전체로그, 필터, 방어, 서버, 추출로그)
IBM의 Tail2Syslog 툴을 사용하여 특정 응용프로그램의 로그를 PLURA 에서 확인할 수 있습니다. 다음은 응용프로그램의 로그를 PLURA 로그콜렉터로 전송하여 PLURA 웹에서 확인할 수 있도록 설정하는 방법입니다. 설정 예시는 CentOS 7 기준으로 작성되었습니다. 1) Tail2Syslog 다운로드 - 공식 다운로드 출처 https://ibm.co/3miSrE1 - PLURA 와 연동하여 사용하기 위해서는 위 파일의 일부를 수정할 필요가 있어 아래의 파일을 이용하시면 편리합니다.
PLURA 의 서버와 에이전트간에 Proxy 서버를 두어 운영하시는 경우, PLURA Java Agent 를 사용하시려면 다음과 같이 설정을 해주셔야 합니다. - vi /usr/local/pluraagent/config/application.properties proxy.host=Proxy 서버 IP주소 proxy.port=Proxy 서용 포트 - 예시
웹서버에서 HTTP 압축을 비활성화 하여 운영하면 PLURA 에서 데이터 유출 행위를 탐지할 수 있습니다. 다음은 Apache 서버에서 HTTP가 압축되고 있는지 확인하고 압축을 비활성화 하는 방법입니다. 1) HTTP 압축을 위한 서버 테스트 - 헤더에 다음 요청을 추가하여 HTTP 압축을 확인합니다. Accept-Encoding:compress,gzip - 압축이 활성화 되어있으면 서버는 압축된 페이지를 응답하고, 압축을 지원하지 않고 있는 경우에는 일반 텍스트로
데이터 유출 탐지 예외사항과 해결책에 대해 알아보겠습니다. 1) Content-Type : MIME 타입 검사 ※ MIME 타입이란, 클라이언트에게 전송된 문서의 다양성을 알려주기 위한 메커니즘입니다. - PLURA에서는 오직 아래의 타입인 경우에만 동작합니다. - text 텍스트를 포함하는 모든 문서를 나타내며 이론상으로는 인간이 읽을 수 있어야 합니다. 예시) text/plain, text/html, text/css, text/javascript - 멀티 타입 멀티파트 타입은 일반적으로 다른
1. redis.conf 수정 > 사전 Syslog 설치 필요 > Config 위치 확인 loglevel notice syslog-enabled yes syslog-facility local7 2. Redis 데몬 재시작 service redis restart 3. PLURA 에서 확인 로그 샘플 예) 위 내용을 활용해서 필터를 등록하면 탐지로그를 확인할 수 있습니다.(Syslog 필터등록 바로가기)
1. postgresql.conf 수정 > 사전 Syslog 설치 필요 > Config 위치 확인 [config 경로 예시] /var/lib/pgsql/9.6/data/postgresql.conf [수정 예시] # ERROR REPORTING AND LOGGING 하단에서 수정 log_destination = 'stderr' 라인을 주석처리 log_destination = 'syslog' 라인 추가 # These are relevant when logging to syslog: 하단의 다음 4라인 주석 해제 #syslog_facility = 'LOCAL0' #syslog_ident = 'postgres' #syslog_sequence_numbers
1. redis.conf 수정 > 사전 Syslog 설치 필요 > Config 위치 확인 loglevel notice syslog-enabled yes syslog-facility local7 2. Redis 데몬 재시작 service redis restart 3. PLURA 에서 확인 로그 샘플 예) 위 내용을 활용해서 필터를 등록하면 탐지로그를 확인할 수 있습니다.(Syslog 필터등록 바로가기)
1. postgresql.conf 수정 > 사전 Syslog 설치 필요 > Config 위치 확인 [config 경로 예시] /var/lib/pgsql/9.6/data/postgresql.conf [수정 예시] # ERROR REPORTING AND LOGGING 하단에서 수정 log_destination = 'stderr' 라인을 주석처리 log_destination = 'syslog' 라인 추가 # These are relevant when logging to syslog: 하단의 다음 4라인 주석 해제 #syslog_facility = 'LOCAL0' #syslog_ident = 'postgres' #syslog_sequence_numbers
1. mysql.conf 다운로드 rsyslog 사용 curl https://repo.plura.io/v4/module/rsyslog/78-mysql.conf -o /etc/rsyslog.d/78-mysql.conf 2. 78-mysql.conf 수정 > mysql error 로그 위치 확인 #vi /etc/rsyslog.d/78-mysql.conf 3. rsyslog 데몬 재 시작 service rsyslog restart 4. PLURA 에서 확인하기 위 내용을 활용해서 필터를 등록하면 탐지로그를 확인할 수 있습니다.(Syslog 필터등록 바로가기)
