1. 네트워크 구성도

네트워크 구성도

 

2. Splunk 시스템 인프라로 이전 설치

IP 지정

 

Change Hardware Compatibility... 확인

 

ESXi 6.7 설정

 

Export to OVF...

 

OVF 실행(intra-net)

 

splunk ip 확인

 

soc-client(10.0.100.2)에서 splunk 접속

 

3. 방화벽 로그 수집

Setting > Data Input

 

UDP + Add new

 

port 지정

 

syslog 및 Index 지정

 

log 설정 추가

 

로그 세팅

 

pfsense와 splunk 연결 확인

 

bee-box에서 외부로 ping 명령어 수행

 

block 된 것을 확인할 수 있음

 

 

4. IPS 로그 수집

로그 설정 확인

 

재시작

 

KALI(10.44.44.44)에서 bee-box(10.0.10.100)으로 공격 수행

 

alert에서 공격 확인

 

검색 결과 ips 로그 연동 확인

 

5. IDS 로그 전송하기

로그 전송 방식

● 스구일은 관련 로그를 /var/log/nsm/securityonion/sguild.log에 저장함

● 이 로그를 syslog-ng 패키지를 사용해 전송함

 

DEBUG 옵션 변경

 

sudo vim /etc/syslog-ng/syslog-ng.conf 수정

 

sguild 재구동

 

Alert Received를 입력하여 연동 확인

 

6. 리눅스 감사 로그와 웹 로그 수집

Splunk에서 제공하는 Universal Forwarder를 사용해 로그를 전송함

● Splunk에서 제공하는 Universal Forwarder를 사용해 아래 로그를 수집

○ /var/log/auth.log

○  /var/log/nginx/access.log

 

Indexes 설정(1)

 

Indexes 설정(2)

 

https://www.splunk.com/en_us/download/universal-forwarder.html?utm_campaign=google_apac_kor_en_search_brand&utm_source=google&utm_medium=cpc&utm_content=Uni_Forwarder_Demo&utm_term=splunk%20universal%20forwarder&device=c&_bt=690424212382&_bm=p&_bn=g&gad_source=1&gclid=EAIaIQobChMI35eu5pHgiQMVa1cPAh1NwBeyEAAYASAAEgI9-fD_BwE

 

Download Universal Forwarder for Remote Data Collection | Splunk

Download Splunk Universal Forwarder for secure remote data collection and data forwarding into Splunk software for indexing and consolidation.

www.splunk.com

 

 

deb 파일 설치

 

Command Line 확인

 

https://app.bitly.com/bbt2/

 

https://bitly.com/a/sign_in?rd=%2Fbbt2%2F

 

bitly.com

 

숏 URL 생성

 

deb 설치

 

modsecurity 전송

 

modsecurity 접근

 

 

vim /opt/splunkforwarder/etc/system/local/inputs.conf

 

DMZNET 설정

 

restart 적용한다. (이걸 몰라서 6시간 동안 붙잡고 있었다. 중요)

 

로그가 정상적으로 저장됨

 

 

7. 윈도우 이벤트 로그 수집

Splunk에서 제공하는 Universal Forwarder를 사용해 로그를 전송함

 

Windows pro 설치

 

 

 

 

 

 

 

 

 

 

 

 

8. EMS 대시보드 구성하기

Linux 감사 기록에 대한 보고서 작성(1)

 

Linux 감사 기록에 대한 보고서 작성(2)

 

IDS 탐지 기록에 대한 보고서 작성(1)

 

IDS 탐지 기록에 대한 보고서 작성(2)

 

WEB_WAS에 대한 보고서 작성(1)

 

기록이 복잡할 경우 따로 필드를 생성할 수 있음

 

형식에 기준이 될 로그 확인

 

구분자 사용

 

띄어쓰기를 구분자로 지정한 후 각 필드의 이름을 설정

 

이름 지정 후 마무리

 

생성된 필드 확인 가능

 

생성된 필드를 기준으로 여러가지 보고서를 생성할 수 있음

 

주소를 기준으로 요청 카운드를 시각화

 

시간을 기준으로 요청 카운트를 시각화

 

새로운 대시보드 생성

 

패널 추가

 

하나의 대시보드에서 다양한 데이터를 확인할 수 있음

 

'프로젝트 > [ESXi]인프라 구축 및 모니터링' 카테고리의 다른 글

8. Splunk 튜토리얼  (3) 2024.11.27
7. 방화벽에서 VLAN 인터페이스 할당  (0) 2024.11.26
6. 웹 방화벽(modsecurity) 기본 실습  (0) 2024.11.25
5. pfsense 방화벽 정책 설정(개발자 대역)  (0) 2024.11.22
4. IDS와 IPS 스노트 룰 패턴 탐지 실습  (2) 2024.11.21

티스토리툴바