[Windows] PLURA V5 탐지 로그에 IP 주소가 남지 않는 경우, 로컬 보안 정책 설정 변경을 통해 PLURA V5 에서 IP 주소를 확인할 수 있습니다. 증상: 아래의 경우 IpAddress & IpPort 가 '-' 남아서 확인할 수 없음. 1) 로그온 성공 EventID 4624 2) 로그온 실패 EventID 4625 ※ 아래와 같이 PLURA V5 탐지 로그에 IP주소와 Port
IBM 의 Tail2Syslog 툴을 사용하여 특정 응용프로그램의 로그를 PLURA V5 에서 확인 가능하지만 다음과 같은 저작권에 대하여 반드시 확인하셔야 합니다. "IBM의 Tail2Syslog 툴은 QRadar 구매 고객 및 라이센스 보유 하에서 사용이 허가되었습니다. QRadar 구매에 대한 문의는 IBM 을 통해서 하시기 바랍니다." 다음은 응용프로그램의 로그를 PLURA V5 로그콜렉터로 전송하여 PLURA V5 웹에서 확인할 수 있도록 설정하는
프루라에서 제공하는 "재전송 공격"(Replay Attack)은 탐지된 공격에 대하여 확인하기 위하여 매우 유용한 도구입니다. 탐지된 공격의 성공 여부를 파악하기 위하여 웹 서버의 Status 200 이라면, 탐지된 코드를 "재전송"하여 어떤 결과를 얻는지 확인하는 방식입니다. 이럴 경우, "크롬 브라우저의 개발자 도구"를 함께 사용하여 다음과 같이 사용할 수 있습니다. 1) 헤더 값 확인 2) 메소드에 따른 여러 요청 값이
해킹의 최종 목표는 데이터유출입니다. 고객정보, 개인정보, 기업의 핵심 자산이 대상입니다. 데이터유출 해킹의 목적은 돈이되는 비즈니스이기 때문입니다. 반대로 해킹 당한 기업 입장에서는 막대한 금전적 피해와 기업에 부정적인 이미지가 확대됩니다. 과징금, 집단적 손해배상, 상황에 따라 형사 고발까지 될 수 있습니다. 우리는 어떻게 데이터유출을 탐지할 수 있을까요? 데이터 유출 방지(Data Loss Prevention)는 내부정보 유출방지, 정보유출방지 등으로 혼용되어
관련 블로그 http://blog.plura.io/?p=12219
◆ 보고서 항목 - 보고서 항목을 일별, 주별, 월별로 설정하여 항목별 그래프로 볼 수 있습니다. 일별 보고서 주별 보고서 월별 보고서
계정탈취 보안필터에는 크리덴셜 스터핑, 볼륨 메트릭이 있습니다. ▶ 크리덴셜 스터핑이란? https://owasp.org/www-community/attacks/Credential_stuffing PLURA V5의 보안필터 중 크리덴셜 스터핑은 꾸준한 로그인 시도를 통해 계정을 탈취하는 공격을 탐지하는 필터입니다. ▶ 볼륨 메트릭이란? https://www.a10networks.com/blog/understanding-ddos-attacks/ PLURA V5의 보안필터 중 볼륨 메트릭은 무자비 대입을 통해 계정을 탈취하는 공격을 탐지하는 필터입니다. 분류 : 볼륨 메트릭(고정), 볼륨 메트릭(가변), 크리덴셜 스터핑(고정), 크리덴셜 스터핑(가변) 중
PLURA V5의 보안필터 중 데이터 유출은 실시간으로 데이터의 유출을 탐지하는 필터입니다. 필터 등록 버튼을 클릭하면 아래 그림과 같이 등록 페이지로 이동합니다. PLURA V5가 제공하는 데이터 유출 필터 외에 사용자가 직접 데이터 유출 필터를 등록할 수 있습니다. 아래는 등록 예시입니다.
상관분석 보안필터는 실시간으로 해킹/관리 로그 사이의 상관관계를 탐지합니다. ◆ 상관분석 보안필터 아래는 등록 예시입니다.
고객 시스템에 취합되고 있는 모든 이벤트 로그에서 해킹이나 위험도가 높은 로그가 발생되면 실시간으로 알려주는 기능을 제공하며, 이를 위해 필터 등록은 필수입니다. 보안필터에서는 상관분석, 데이터유출, 계정탈취, 홈페이지위변조 필터를 등록/수정/삭제 할 수 있습니다. 보안필터 상관분석 : http://blog.plura.io/?p=12055 데이터 유출 : http://blog.plura.io/?p=12058 계정탈취 : http://blog.plura.io/?p=12060 홈페이지 위변조 : http://blog.plura.io/?p=11772
