Wail2ban 을 이용해 RDP 무차별 대입공격에 대한 보안 설정을 했을 경우,
Wail2ban 에 의해 윈도우 방화벽에 차단 등록되는 동작을 PLURA 에서 탐지할 수 있습니다.

Wail2ban 이란?
https://developer.ibm.com/kr/cloud/softlayer-bluemix-infra/security/2017/08/31/rdp-security-script/

 

1. 필터 등록 예시

PLURA 웹에서 필터 등록으로 설정 방법

  • 필터 > 필터관리 > 필터등록 선택
  • 서버그룹 선택 > 운영체제 windows 선택 > Security 채널 선택 > 이벤트타입 선택

이벤트 타입에서 방화벽 예외 목록 변경 규칙 추가(4946) 선택

그림과 같이 선택 후 ‘데이터 값’에 wail2ban block 을 넣고 하단의 ‘등록’ 버튼 클릭

 

2. 방화벽 등록 탐지 예시

Wail2ban 에 의해 윈도우 방화벽에 차단 등록이 되면 아래와 같이 탐지됩니다.