SIEM 구축 3편 Wazuh 페이지 구성 설명

Wazuh 설정 후 admin 계정으로 로그인하시면 다음과 같은 Overview 화면을 보실 수 있습니다.

Overview 화면 설명은 메뉴 설명 이후에 하겠습니다.

메뉴

먼저 메뉴부터 살펴보겠습니다. 좌측 상단의 메뉴 버튼을 클릭하며 아래와 같이 확인할 수 있습니다.

Wazuh의 좌측 메뉴는 주요 보안 및 운영 기능으로 구성되어 있으며, 각각의 항목은 다음과 같은 역할을 합니다:

1. Home (홈): 플랫폼의 Overview (개요)로 돌아가기 위한 메뉴입니다. 플랫폼 개요와 요약 정보를 제공합니다.
2. Explore (탐색): 보안 데이터를 심층적으로 분석할 수 있는 툴입니다. 로그와 경고 데이터를 탐색하고 필터링하여 상세 정보를 얻을 수 있습니다.
3. Endpoint Security (엔드포인트 보안): 시스템에서의 파일 무결성 감시, 위협 탐지, 멀웨어 탐지 등 엔드포인트 보안 관련 기능을 다룹니다.
4. Threat Intelligence (위협 인텔리전스): 보안 경고를 분석하고, MITRE ATT&CK 프레임워크와 연계하여 위협에 대한 이해를 돕는 섹션입니다.
5. Security Operations (보안 운영): 운영상에서 발생하는 보안 이벤트를 관리하며, 클라우드 및 서비스 관련 보안 데이터를 모니터링합니다.
6. Cloud Security (클라우드 보안): 클라우드 서비스(AWS, Google Cloud, Office 365 등)와 관련된 보안 이벤트를 관리합니다.
7. Agents Management (에이전트 관리): 보안 에이전트를 추가, 삭제, 관리하며, 각 에이전트의 상태를 모니터링합니다.
8. Server Management (서버 관리): Wazuh 서버와 관련된 구성 및 상태 정보를 제공합니다.
9. Indexer Management (인덱서 관리): 데이터의 저장 및 검색을 위한 인덱서를 설정하고 관리하는 메뉴입니다.
10. Dashboard Management (대시보드 관리): 사용자 지정 대시보드를 생성하거나 기존의 대시보드를 관리합니다.
11. Dock Navigation (도킹 내비게이션): 플랫폼 내에서 간편하게 이동할 수 있는 추가 옵션을 제공합니다.

이 메뉴를 통해 필요한 보안 데이터를 쉽고 빠르게 찾고 관리할 수 있습니다

자 그럼 1. Home (홈) 메뉴의 상세 기능을 설명드리겠습니다.

Home (홈)

Overview

Home > Overview 페이지는 Wazuh 플랫폼의 메인 대시보드로, 보안 상황과 관련된 주요 정보를 한눈에 파악할 수 있도록 설계되어 있습니다. 이 페이지는 다음과 같은 요소들로 구성되어 있습니다.

① 에이전트 상태(Agent Summary)

• Active (활성화된 에이전트): 14개
• Disconnected (비활성화된 에이전트): 0개 → 네트워크 내에서 보안 에이전트들의 현재 상태를 요약합니다.

② 지난 24시간 경고(LAST 24 HOURS ALERTS)

여기에서는 지난 하루 동안 발생한 보안 경고의 개수와 상세한 내용을 보여줍니다. 변화량을 기반으로 특정 이벤트 발생 가능성을 예측할 수 있습니다.

• Critical (심각): 0개 (룰 레벨 15 이상)
• High (높음): 0개 (룰 레벨 12–14)
• Medium (중간): 100개 (룰 레벨 7–11)
• Low (낮음): 100개 (룰 레벨 0–6)
• 해당 보안 경고를 숫자를 클릭하게 되면 상세 내역으로 이동하게 됩니다.
• 보안 경고를 심각도에 따라 분류해 알려줍니다. 이 정보를 통해 우선적으로 대응해야 할 문제를 파악할 수 있습니다.

③ 보안 기능(ENDPOINT SECURITY, THREAT INTELLIGENCE)

아래와 같은 주요 보안 서비스가 포함됩니다:

a. ENDPOINT SECURITY

• Configuration Assessment (구성 평가): 시스템과 네트워크 자산을 감사합니다.
• Malware Detection (멀웨어 탐지): 악성 소프트웨어 감염 여부 확인.
• File Integrity Monitoring (파일 무결성 감시): 파일 변경과 관련된 경고를 탐지.

b. THREAT INTELLIGENCE

• Threat Hunting (위협 탐지): 보안 경고를 분석하여 위협 요소를 식별.
• Vulnerability Detection (취약점 탐지): 애플리케이션 취약점을 탐지 및 보고.
• MITRE ATT&CK: 보안 경고를 MITRE ATT&CK 프레임워크에 매핑해 분석.

④ 규정 및 국제 표준 준수 (SECURITY OPERATION)

• PCI DSS: 결제 카드 데이터 보안 표준.
• GDPR: 개인 정보 보호 규정.
• HIPAA: 의료 정보 보호 규정.
• NIST 800-53: 연방 정보 시스템 지침.
• TSC: 신뢰 서비스 기준.

⑤ 클라우드 보안(Cloud Security)

• Docker: Docker 컨테이너의 활동 모니터링.
• AWS: Amazon Web Services 관련 보안 이벤트 추적.
• Google Cloud: Google Cloud 서비스 보안 관리.
• GitHub: GitHub 감사 로그 이벤트 분석.
• Office 365: Office 365와 관련된 보안 이벤트 탐지.

간략하게 Overview 화면 구성만 살펴보았습니다. 전체적인 메뉴를 전부 소개해드릴려고 했지만.. 실제 구성하고 운영하면서 설명드리면 더 좋을꺼 같다는 생각이 들어 다음편에서 Explore 메뉴의 대시보드, 리포트, 알람 기능 설정 등의 설정 방법에서 안내드리겠습니다.