IT/보안

wazuh는 어떤 방식으로 침입 및 맬웨어 탐지, 파일 무결성 모니터링, 구성 평가, 취약성 탐지를 운영할까?

액트 2025. 3. 27. 13:09
반응형

Wazuh는 오픈소스 보안 플랫폼으로 침입 탐지, 맬웨어 탐지, 파일 무결성 모니터링, 구성 평가, 취약성 탐지 등의 기능을 수행하는 데 다음과 같은 방식을 사용합니다.

1. 침입 및 맬웨어 탐지 (Intrusion & Malware Detection)

호스트 기반 침입 탐지 시스템 (HIDS, Host-based Intrusion Detection System)

  • 로그 분석: 시스템, 애플리케이션, 네트워크 장비의 로그를 수집 및 분석하여 의심스러운 활동 탐지
  • 규칙 기반 탐지: 미리 정의된 룰셋(예: MITRE ATT&CK, Sigma 규칙)을 기반으로 침입 탐지
  • 머신러닝 활용: 비정상적인 행위를 감지하기 위해 행동 기반 분석 적용

악성코드 및 루트킷 탐지

  • YARA 규칙 활용: 실행 중인 프로세스, 파일 등을 스캔하여 악성코드 패턴 탐지
  • 커널 모듈 검사: 루트킷이 커널에 숨겨진 경우 이를 탐지하는 기능 제공

2. 파일 무결성 모니터링 (FIM, File Integrity Monitoring)

중요 시스템 파일 변경 감지

  • /etc/passwd, /etc/shadow, 시스템 설정 파일, 웹 서버 디렉토리 등을 지속적으로 모니터링
  • 파일이 변경되면 즉시 경고

해시 비교 및 변경 추적

  • SHA1, SHA256 등의 해시값을 저장하고 주기적으로 비교
  • 특정 파일이 변조되면 이를 탐지하고 관리자에게 알림

실시간 및 주기적 검사 모드

  • 파일 변경이 감지되는 즉시 경고하는 실시간 모드
  • 일정한 주기로 파일 상태를 확인하는 스케줄 모드

3. 구성 평가 (Security Configuration Assessment, SCA)

보안 정책 및 규정 준수 검사

  • PCI DSS, GDPR, HIPAA, NIST 800-53 등 다양한 규정을 기반으로 시스템이 보안 정책을 준수하는지 평가

자동화된 보안 점검

  • 시스템 설정 값 (예: 방화벽 설정, 계정 정책, SSH 설정 등)이 보안 지침을 따르는지 검사
  • 비정상적인 설정이 발견되면 경고

커스텀 보안 정책 적용 가능

  • 사용자 지정 규칙을 만들어 특정 환경에 맞게 보안 평가 수행 가능

4. 취약성 탐지 (Vulnerability Detection)

소프트웨어 및 패키지 취약성 분석

  • OS 및 애플리케이션의 패키지를 스캔하여 CVE(Common Vulnerabilities and Exposures) 데이터베이스와 비교
  • Ubuntu, CentOS, Windows 등 다양한 운영체제의 취약점 탐지

CVE (Common Vulnerabilities and Exposures)란?

CVE(Common Vulnerabilities and Exposures, 공통 취약점 및 노출)는 소프트웨어 및 하드웨어의 보안 취약점을 식별하고 표준화된 방식으로 관리하기 위한 시스템입니다. CVE는 미국의 MITRE Corporation에서 관리하며, 보안 취약점에 대한 고유한 식별자(ID)를 부여하여 공개적으로 공유할 수 있도록 합니다.

실시간 취약점 업데이트

위험도 기반 경고

  • CVSS(CVSS v3/v2) 점수를 기반으로 위험도를 평가하여 높은 위험도를 가진 취약점 우선 경고

5. 네트워크 보안 모니터링

Suricata와 연동 가능

  • 네트워크 기반 침입 탐지 시스템(NIDS)인 Suricata와 연동하여 네트워크 트래픽 이상 탐지

Suricata란?

Suricata는 오픈 소스 네트워크 기반 침입 탐지 및 방지 시스템(NIDS/NIPS), 네트워크 보안 모니터링(NSM), 패킷 처리 기능을 제공하는 고성능 보안 솔루션입니다. OISF(Open Information Security Foundation)에서 개발 및 유지 관리하며, Snort와 같은 기존의 침입 탐지 시스템(IDS)과 비교하여 높은 성능과 다기능성을 갖추고 있습니다.

Sysmon, Zeek 등의 네트워크 로그 분석

  • Windows Sysmon 및 Zeek과 연계하여 네트워크 활동 및 프로세스 행동 분석

IP 및 도메인 차단

  • Wazuh 규칙을 기반으로 의심스러운 IP 및 도메인을 자동 차단 가능

정리

Wazuh는 에이전트 기반 모니터링을 통해 시스템 내부를 지속적으로 감시하며, 규칙 기반 분석 및 머신러닝 기법을 활용하여 위협을 탐지합니다.
또한 취약점 분석, 구성 평가, 파일 무결성 검사, 네트워크 모니터링 등의 기능을 결합하여 전반적인 보안 운영을 자동화하고 강화하는 역할을 수행합니다

반응형
저작자표시 비영리 변경금지