보호되어 있는 글입니다.

logstash-output-jdbchttps://github.com/theangryangel/logstash-output-jdbc 기존에 프로젝트를 진행하면서 logstash에서 로그 데이터를 정리하던 방식은input: filebeat → logstash 필터 정제 → output: elasticsearch 로 진행하고 있었음 하지만 DB에 값을 저장할 필요가 생겨서 output을 MySQL에 연동하는 것으로 변경하고자 함 elastic 공식에서는 input으로 MySQL을 설정하는 방식은 있으나, output으로는 공식 지원하지 않는다고 함 이에 `logstash-output-jdbc`라는 외부 오픈소스 플러그인을 사용하기로 했당해당 플러그인을 사용하면 SQL DB로 데이터를 출력할 수 있음 Logs..

기업의 데이터를 어디에 저장하고 관리하는지 두 방식을 알아보겠당 On-premise온프레미스 저장소 데이터를 저장하고 관리하기 위해 기업 내부에 물리적 서버와 인프라를 직접 구축하고 운영하는 방식 기업이 서버, 스토리지, 네트워크 장비 등을 직접 구매하여 사내 데이터센터에 설치, 보안부터 유지보수까지 직접 처리함 주요특징높은 초기 투자 비용 서버, 스토리지, 네트워킹 장비 등 하드웨어와 소프트웨어 구입에 많은 초기 비용 발생 인력 및 시간 소요 시스템 구축, 운영, 유지보수를 위한 전문 인력과 많은 시간 필요 강력한 보안 통제모든 데이터를 내부에서 직접 관리하기 때문에 기업이 보안 정책을 완벽하게 통제 가능 Cloud클라우드 저장소 인터넷 네트워크를 통해 원격에 위치한 데이터센터의 서버에 데이터..

위협을 효과적으로 탐지 및 대응할 수 있는 보안 솔루션에 대해 다시 정리하고,통합 운영했을 때 얻을 수 있는 이점에 대해 알아보장 NDR (Network Dectecion and Response)네트워크 위협 탐지 및 대응 네트워크 트래픽을 실시간 모니터링해 이상 징후를 탐지실시간 및 과거 메타데이터를 통해 정상적인 행동 모델을 구축 EDR (Endpoint Detection and Response)엔드포인트 탐지 및 대응 엔드포인트 장치의 모든 활동을 모니터링해 악의적인 활동을 식별 및 대응비정상적인 활동이나 데이터 액세스를 탐지해 위험을 신속하게 방지 SIEM (Security Information & Event Management)통합보안관제 솔루션 다양한 데이터 소스에서 수집한 로그와 이벤트를 ..

NDR (Network Detection and Response)네트워크 탐지 및 대응 네트워크 트래픽을 실시간으로 모니터링하고 분석하여 위협을 탐지하고 대응하는 보안 솔루션 주요 특징실시간 트래픽 모니터링 네트워크를 오가는 모든 데이터 패킷을 수집하고 분석하여 공격의 흔적을 실시간으로 파악함 행동 분석 및 머신러닝정상적인 네트워크 활동 패턴을 학습하여 이상 행위 탐지 자동화된 위협 대응위협이 탐지되면 해당 장치를 격리하거나, 악성 트래픽을 차단하는 등 즉각적인 조치ㄱㄱ 네트워크 가시성 향상네트워크 내 자산(디바이스, 서버 등)을 자동으로 식별하고 관리하여 위협의 영향을 받는 대상을 명확히 파악 가능 NDR vs. EDR구분NDREDR주요 보호 대상네트워크 트래픽 및 활동개별 엔드포인트(PC, 서버..

MCP (Model Context Protocol)모델 컨텍스트 프로토콜 LLM이 외부 데이터나 도구에 접근할 수 있도록 지원하는 시스템외부와 어떻게 상호작용할지 정의해 놓은 프로토콜... 쉽게 설명하자면 전 세계의 전자 기기들이 제각각 다른 충전 포트를 사용하다가 USB-C 포트로 통일된 것과 비슷한 느낌!!AI 모델이 다양한 데이터 소스와 도구에 표준화된 방식으로 연결될 수 있게 해줌~ MCP 특징개방형 표준MCP는 오픈소스로 공개되어 있어 누구나 자유롭게 사용 및 개선 가능 양방향 연결AI 모델과 데이터 소스 간의 양방향 통신을 지원함 범용성과 표준화다양한 데이터 소스와 도구를 하나의 표준 프로토콜로 연결해줌 MCP 구성요소MCP는 호스트, 클라이언트, 서버로 이루어져 있당 MCP HostMCP 아..

LLM (Large Language Model)대규모 언어 모델 방대한 양의 데이터를 학습하여 자연어 및 기타 유형의 컨텐츠를 이해하고 생성하여 광범위한 작업을 수행할 수 있는 기초 모델의 범주 수많은 텍스트 데이터(웹페이지, 책, 논문 등)를 학습하여 인간의 언어를 이해하고, 새로운 텍스트를 생성하는 AI 모델 단순히 단어를 나열하는 것이 아니라, 문맥을 파악하고 논리적인 문장을 만들어냄 ex) OpenAI의 ChatGPT LLM은 챗봇, 가상 어시스턴트부터 컨텐츠 생성, 연구 지원 등 다양한 언어 관련 작업을 수행함 관련 용어프롬프트 엔지니어링: 모델의 프롬프트를 최적화하여 원하는 출력 결과를 얻는 방법파인튜닝: 사전 학습된 모델을 특정 작업이나 데이터셋에 맞게 재학할루시네이션: 사실이 아닌 정보를..

ZTNA를 소개하기 전에 제로 트러스트에 대해 간단히 정리해보장 Zero Trust제로 트러스트 "절대 신뢰하지 말고 항상 검증하라"네트워크 경계와 관계없이 그 누구도, 그리고 어떠한 활동이든 기본적으로 '신뢰하지 않는' 것에 바탕을 둠 왜 필요한가?기존 경계 기반 보안 모델은 공격자가 정보시스템에 접속하고 나면 내부의 서버, 컴퓨팅 서비스, 데이터 등 보호 대상에 추가 인증 없이 접속 가능→ Zero Trust는 자원들을 각각 분리 보호하여 하나의 자원이 해킹되었다 하더라도 인근 자원 보호 가능 ZTNA (Zero Trust Network Access)제로 트러스트 네트워크 액세스 제로 트러스트 보안 모델을 기반으로 하는 네트워크 보안 기술 기존의 VPN이 네트워크 내부로 일단 진입하면 모든 접근을 ..

BAS (Breach and Attack Simulation)침해 및 공격 시뮬레이션 실제 해커가 사용하는 공격 기법을 모의로 재현하여 기업의 보안 시스템을 자동으로 점검하고 평가하는 솔루션 왜 필요한가?기업이 보안 시스템이 얼마나 효과적인지 평가하는 것은 매우 중요함기존에는 모의 해킹 전문가가 공격을 시도했으나 복잡하고 시간이 오래 걸림→ 이런 과정을 자동화하여 기업의 보안 태세를 지속적으로 점검하고 개선 "자동화된 모의 해킹" BAS의 장점1. 지속적인 보안 점검기존 모의 해킹은 비용과 시간 문제가 있음But BAS는 자동으로 공격으로 시뮬레이션하여 보안 취약점을 지속적으로 찾아냄 2. 보안 투자 효과 검증토입한 보안 솔루션이 실제 공격을 얼마나 잘 막아내는지 확인 가능→ 불필요한 보안 투자를 줄이고..

보안관제를 공부하다 보면 SOC라는 용어가 자주 나온다SOC에 대해 정리해보겠당 SOC (Security Operations Center)보안 운영 센터 사이버 보안 기술 및 운영을 통합하고 조정하여 조직의 위협 탐지, 대응 및 예방을 수행하는 센터 조직의 네트워크, 시스템, 애플리케이션 등에 대한 보안을 유지하고 사이버 위협에 대한 선제적인 방어 태세를 유지함또한 조직의 사이버 보안 기술을 선택, 운영 및 유지 관리하고 위협 데이터를 지속적으로 분석하여 조직의 보안 태세를 개선할 방법을 찾음. SOC의 목표1. 사이버 공격의 예방최신 위협 정보를 분석하고 보안 시스템을 최적화하여 공격 시도를 미리 차단 2. 사이버 공격의 탐지 네트워크 트래픽, 시스템 로그 등 다양한 데이터를 실시간으로 모니터링하여 ..