Additional Manual

You are here:-Additional Manual

Other Manual

재전송공격을 이용한 모의해킹 테스트

▣ PLURA V5 Manual - 재전송 공격 재전송공격이란, 탐지 로그를 이용하여 실제 공격을 확인하는 기능으로 모의해킹의 일환입니다. 재전송공격으로 모의 해킹을 하는 이유는 공격의 성공과 실패를 확인하기 위함입니다. SQL 인젝션 공격의 성공은 매우 심각한 위험에 노출되므로 성공에 대하여 반드시 확인해야 하지만, 수많은 공격 로그 중에서 모의해킹을 테스트하기가 매우 어렵습니다. 프루라의 재전송공격은 이러한 불편함을 제거하고 업무 효율의

PLURA V5 유저별 브라우저 저장 기능

PLURA V5에서는 유저별 브라우저 저장 기능을 제공하고 있습니다. 브라우저별 캐시가 저장되어 새로 창을 열었을 경우에도 아래의 설정이 유지됩니다. 1. 왼쪽 상단에 메뉴노출 버튼 클릭 시, 해당 설정이 유지됩니다. 1-1. 메뉴 노출 클릭 1-2. 메뉴 숨김 상태로 설정이 유지됩니다. 2. 각각의 페이지별 라인 수 노출 설정이 유지됩니다.(적용 영역 : 보안탐지, 필터탐지, 전체로그, 필터, 방어, 서버, 추출로그)

Apache 서버에서 HTTP 압축 비활성화

웹서버에서 HTTP 압축을 비활성화 하여 운영하면 PLURA V5 에서 데이터 유출 행위를 탐지할 수 있습니다. 다음은 Apache 서버에서 HTTP가 압축되고 있는지 확인하고 압축을 비활성화하는 방법입니다. 1) HTTP 압축을 위한 서버 테스트 - 헤더에 다음 요청을 추가하여 HTTP 압축을 확인합니다. Accept-Encoding:compress,gzip - 압축이 활성화 되어있으면 서버는 압축된 페이지를 응답하고, 압축을 지원하지 않고 있는 경우에는 일반 텍스트로

데이터유출 탐지 예외 사항과 해결책

데이터 유출 탐지 예외사항과 해결책에 대해 알아보겠습니다. 1) Content-Type : MIME 타입 검사 ※ MIME 타입이란, 클라이언트에게 전송된 문서의 다양성을 알려주기 위한 메커니즘입니다. - PLURA V5에서는 오직 아래의 타입인 경우에만 동작합니다. - text 텍스트를 포함하는 모든 문서를 나타내며 이론상으로는 인간이 읽을 수 있어야 합니다. 예시) text/plain, text/html, text/css, text/javascript - 멀티 타입 멀티파트 타입은 일반적으로

Network Syslog Collector 수집 경로 변경 방법

1. 수집시스템(부모시스템)로 접속합니다. 2. 아래의 경로로 이동합니다. # cd /etc/rsyslog.d # vi 77-plura.conf 3. 77-plura.conf 설정 파일 하단의 경로를 수정합니다. $template DynaFile,"/var/log/plura/ceelog-%FROMHOST-IP%.log" 4. 예를 들어, /var/log/new/ 경로로 수정해보도록 하겠습니다. # 경로변경 예시) $template DynaFile,"/var/log/new/ceelog-%FROMHOST-IP%.log" 5. rsyslog 재시작을 합니다. # systemctl restart rsyslog 6. 자식시스템 설정하기 6-1. 시스템 > 시스템 관리 > 자식시스템 선택 6-2. "시스템

윈도우 레지스트리 & 파일 위변조 탐지

1. 윈도우 레지스트리 위변조 탐지 PLURA V5 서비스는 레지스트리 위변조를 탐지할 수 있습니다. 1-1. 윈도우 레지스트리 위변조를 시도하는 경우, 1-2. 시스템 필터 탐지에서 레지스트리 위변조에 대한 로그를 확인할 수 있습니다. 2. 파일 위변조 탐지 PLURA V5 서비스는 파일 위변조 탐지를 할 수 있습니다. 2-1. 파일에 접근하여 위변조를 시도하는 경우, 2-2. 시스템 필터 탐지에서 파일 위변조에

[AIX] Audit 을 이용한 해킹 탐지

1. 파일 감사 설정하기 (바로가기) 2. 파밍 공격 탐지 PLURA V5 서비스는 파밍 공격을 탐지할 수 있습니다. 2-1. /etc/hosts 파일의 접근하여 위변조를 시도하는 경우, 2-2.  PLURA V5 서비스에서 탐지할 수 있습니다.   3. 홈페이지 위변조 공격 탐지 PLURA V5 서비스는 홈페이지 위변조 공격을 탐지할 수 있습니다. 3-1. /www/html/index.html 파일의 접근하여 위변조를 시도하는 경우, 3-2. PLURA

[필터] 공개키 로그인 성공_사용자 등록 방법

PLURA V5 > 필터 > 등록 운영체제 그룹 : linux 운영체제 : ubuntu or centos (해당되는 운영체제 선택) 채널 : Syslog 필터명 : 공개키 로그인 성공 필터설명 : 공개키 로그인 성공 시 발생되는 로그입니다. 필터위험도 : 높음 필터동작시간 : 24시간 필터상태 : ON   기본 등록 정보  - 정보입력 > msg > 직접입력 : Accepted

[AIX] 파일 감사(Audit Log) 설정으로 PLURA V5에서 필터탐지 확인하기

1. AIX 에서 Remote Logging 설정하기 PLURA V5 우측 상단의 Install Agents 페이지 상단 메뉴에서 OS별 선택 UNIX > AIX탭   2. 파일 감사 설정하기 Audit > config 설정값 변경 - audit service 종료 # audit off # audit shutdown - config 수정 # vi /etc/security/audit/config // 값 변경 set binmode = off streammode =

Webhook 설정으로 Telegram에서 PLURA V5 알림 받아보기

텔레그램 메신저를 이용해 웹훅 수신을 설정하면 PLURA V5 탐지 알림을 텔레그램으로 받아볼 수 있습니다. 1. Bot 생성 BotFather 검색 /newbot 입력 Bot 이름 등록 Bot 식별키 등록(_bot으로 끝나야함) Bot 생성 이후 출력창의 t.me/Bot식별키를 클릭하여 시작(start)을 눌러서 활성화 2. Bot 을 그룹채팅에 초대 그룹을 만들고 생성한 Bot 이름으로 검색하여 등록 Bot생성시 Token을 이용해서 현재 그룹채팅의 id