wazuh는 어떤 방식으로 침입 및 맬웨어 탐지, 파일 무결성 모니터링, 구성 평가, 취약성 탐지를 운영할까?

액트 2025. 3. 27.

Wazuh는 오픈소스 보안 플랫폼으로 침입 탐지, 맬웨어 탐지, 파일 무결성 모니터링, 구성 평가, 취약성 탐지 등의 기능을 수행하는 데 다음과 같은 방식을 사용합니다.

1. 침입 및 맬웨어 탐지 (Intrusion & Malware Detection)

호스트 기반 침입 탐지 시스템 (HIDS, Host-based Intrusion Detection System)

로그 분석: 시스템, 애플리케이션, 네트워크 장비의 로그를 수집 및 분석하여 의심스러운 활동 탐지
규칙 기반 탐지: 미리 정의된 룰셋(예: MITRE ATT&CK, Sigma 규칙)을 기반으로 침입 탐지
머신러닝 활용: 비정상적인 행위를 감지하기 위해 행동 기반 분석 적용

악성코드 및 루트킷 탐지

YARA 규칙 활용: 실행 중인 프로세스, 파일 등을 스캔하여 악성코드 패턴 탐지
커널 모듈 검사: 루트킷이 커널에 숨겨진 경우 이를 탐지하는 기능 제공

2. 파일 무결성 모니터링 (FIM, File Integrity Monitoring)

중요 시스템 파일 변경 감지

/etc/passwd, /etc/shadow, 시스템 설정 파일, 웹 서버 디렉토리 등을 지속적으로 모니터링
파일이 변경되면 즉시 경고

해시 비교 및 변경 추적

SHA1, SHA256 등의 해시값을 저장하고 주기적으로 비교
특정 파일이 변조되면 이를 탐지하고 관리자에게 알림

실시간 및 주기적 검사 모드

파일 변경이 감지되는 즉시 경고하는 실시간 모드
일정한 주기로 파일 상태를 확인하는 스케줄 모드

3. 구성 평가 (Security Configuration Assessment, SCA)

보안 정책 및 규정 준수 검사

PCI DSS, GDPR, HIPAA, NIST 800-53 등 다양한 규정을 기반으로 시스템이 보안 정책을 준수하는지 평가

자동화된 보안 점검

시스템 설정 값 (예: 방화벽 설정, 계정 정책, SSH 설정 등)이 보안 지침을 따르는지 검사
비정상적인 설정이 발견되면 경고

커스텀 보안 정책 적용 가능

사용자 지정 규칙을 만들어 특정 환경에 맞게 보안 평가 수행 가능

4. 취약성 탐지 (Vulnerability Detection)

소프트웨어 및 패키지 취약성 분석

OS 및 애플리케이션의 패키지를 스캔하여 CVE(Common Vulnerabilities and Exposures) 데이터베이스와 비교
Ubuntu, CentOS, Windows 등 다양한 운영체제의 취약점 탐지

CVE (Common Vulnerabilities and Exposures)란?

CVE(Common Vulnerabilities and Exposures, 공통 취약점 및 노출)는 소프트웨어 및 하드웨어의 보안 취약점을 식별하고 표준화된 방식으로 관리하기 위한 시스템입니다. CVE는 미국의 MITRE Corporation에서 관리하며, 보안 취약점에 대한 고유한 식별자(ID)를 부여하여 공개적으로 공유할 수 있도록 합니다.

실시간 취약점 업데이트

NVD(National Vulnerability Database) 및 OVAL 데이터베이스를 기반으로 최신 취약점 목록을 업데이트

위험도 기반 경고

CVSS(CVSS v3/v2) 점수를 기반으로 위험도를 평가하여 높은 위험도를 가진 취약점 우선 경고

5. 네트워크 보안 모니터링

Suricata와 연동 가능

네트워크 기반 침입 탐지 시스템(NIDS)인 Suricata와 연동하여 네트워크 트래픽 이상 탐지

Suricata란?

Suricata는 오픈 소스 네트워크 기반 침입 탐지 및 방지 시스템(NIDS/NIPS), 네트워크 보안 모니터링(NSM), 패킷 처리 기능을 제공하는 고성능 보안 솔루션입니다. OISF(Open Information Security Foundation)에서 개발 및 유지 관리하며, Snort와 같은 기존의 침입 탐지 시스템(IDS)과 비교하여 높은 성능과 다기능성을 갖추고 있습니다.

Sysmon, Zeek 등의 네트워크 로그 분석

Windows Sysmon 및 Zeek과 연계하여 네트워크 활동 및 프로세스 행동 분석

IP 및 도메인 차단

Wazuh 규칙을 기반으로 의심스러운 IP 및 도메인을 자동 차단 가능

정리

Wazuh는 에이전트 기반 모니터링을 통해 시스템 내부를 지속적으로 감시하며, 규칙 기반 분석 및 머신러닝 기법을 활용하여 위협을 탐지합니다.
또한 취약점 분석, 구성 평가, 파일 무결성 검사, 네트워크 모니터링 등의 기능을 결합하여 전반적인 보안 운영을 자동화하고 강화하는 역할을 수행합니다

저작자표시 비영리 변경금지

'IT > 보안' 카테고리의 다른 글

SIEM 구축 2편 Wazuh agent 설치 (0)	2025.03.27
NVD(National Vulnerability Database) 및 OVAL 데이터베이스란? (0)	2025.03.27
SIEM 구축 1편 Wazuh 설치 (0)	2025.03.24
로그 분석을 통해 APT 공격을 탐지하는 방법 (0)	2025.03.24
Cross-Site Scripting(XSS)과 Cross-Site Request Forgery(CSRF)의 차이점 (0)	2025.03.24

wazuh는 어떤 방식으로 침입 및 맬웨어 탐지, 파일 무결성 모니터링, 구성 평가, 취약성 탐지를 운영할까?

1. 침입 및 맬웨어 탐지 (Intrusion & Malware Detection)

2. 파일 무결성 모니터링 (FIM, File Integrity Monitoring)

3. 구성 평가 (Security Configuration Assessment, SCA)

4. 취약성 탐지 (Vulnerability Detection)

CVE (Common Vulnerabilities and Exposures)란?

5. 네트워크 보안 모니터링

Suricata란?

정리

'IT > 보안' 카테고리의 다른 글

댓글

티스토리툴바

wazuh는 어떤 방식으로 침입 및 맬웨어 탐지, 파일 무결성 모니터링, 구성 평가, 취약성 탐지를 운영할까?

1. 침입 및 맬웨어 탐지 (Intrusion & Malware Detection)

2. 파일 무결성 모니터링 (FIM, File Integrity Monitoring)

3. 구성 평가 (Security Configuration Assessment, SCA)

4. 취약성 탐지 (Vulnerability Detection)

CVE (Common Vulnerabilities and Exposures)란?

5. 네트워크 보안 모니터링

Suricata란?

정리

'IT > 보안' 카테고리의 다른 글

관련글

댓글

티스토리툴바