2018년 11월 15일 목요일

Packetbeat 활용 - 2nd

실시간 모니터링 말고 파일로 저장된 트래픽도 분석할 수 있을까? 당연히 된다. pcap 파일 리플레이를 할 수 있다는 얘기. Winlogbeat도 파일 접근할 수 있게 해줘요


2018년 11월 14일 수요일

Packetbeat 활용

가끔 Packetbeat 사용법을 물어보는 분들이 계시는데, 계속 안써봤다고 답하기 궁색해서 써봄(..) 이름처럼 Packetbeat는 트래픽 데이터 전송 에이전트 역할을 한다. 우선 설정부터 살펴보자.

Network device


2018년 11월 7일 수요일

yml? yaml?

엘라스틱 스택의 주요 설정 파일들은 대부분 yml 확장자를 갖는다. 이게 뭔가 싶었는데 데이터 직렬화 양식인 YAML을 줄인 거라고. 응? 데이터 직렬 뭐? 읽기 편한 구조를 가지고 있어서 설정 파일 형식으로 많이 쓰인다나.

그런데 이게 읽기 쉬운 구조인 건 알겠는데 문법에 대한 이해 없이 리눅스 설정하듯 쓰면 되겠거니 하다가는 낭패보기 십상이다. 다음은 logstash.yml 설정 구조.

같은 의미, 다른 표현

2018년 10월 31일 수요일

Logstash service 권한 문제 - 2nd

file 및 filebeat 입력 플러그인 테스트. 출력 설정에서 'beat' 필드 존재 여부에 따라 인덱스명을 따로 준 이유는, 입력 플러그인에 따라 필드 구조가 달라져서 같은 인덱스명을 사용하면 둘 중 하나는 데이터 저장 실패. Schemaless라더니 은근 까다롭다. -_-


2018년 10월 18일 목요일

(경) MySQL 전방탐색 지원 (축)

MySQL은 POSIX 기반 정규표현식을 지원한다. 전방탐색 등의 고오급 기능을 지원하지 않는다는 얘기. 그래서 문제 발생. 다음은 SNORT DB에서 특정 탐지로그를 발생시킨 패킷 페이로드 조회 결과.


2018년 10월 1일 월요일

기술이 쉬워지는 두 가지 기준

다니던 회사가 보안인증 심사 대상에 포함됐다던지 하는 이유로 하루 아침에 보안 담당자가 되신 분들이 업무의 어려움, 특히 제품 선정 등의 어려움을 토로할 때가 있다.

내가 보안 담당자라니

그럴 때 두 가지 기준만 세워두면 기술 배경 몰라도 보안 그리 어렵지 않다는 얘기를 건넨다. 그간 기술자로 일하면서 쪽팔리지 않으려 발버둥치다 보니 자연스럽게 갖게 된 기준.

크리에이티브 커먼즈 라이선스