본문 바로가기
반응형

전체 글865

Intel CPU bug Meltdown, Spectre Attack 이해와 Patch 방안 Intel CPU bug Meltdown, Spectre Attack 이해와 Patch 방안 최근 이슈화된 Intel CPU bug인 CPU의 부채널 공격(side channel attack)으로 인해 캐시 메모리의 저장된 정보가 노출되는 취약점에 대해 정리해 보았습니다. CPU의 부채널 공격에 사용되는 방식은 Meltdown과 Spectre Attack이 있습니다. Meltdown Attack 응용 프로그램과 운영 체제 간의 가장 기본적인 커널 메모리 영역의 분리를 해칩니다. 이 공격은 응용 프로그램이 다른 프로그램과 운영 체제의 메모리, 따라서 민감한 데이터에 액세스 할 수 있게 합니다. 컴퓨터에 취약한 프로세서가 있고 패치 되지 않은 운영 체제가 실행되는 경우 정보 유출없이 중요한 정보로 작업하는 .. 2020. 11. 5.
인프라 보안와 침해 대응의 방식 변화 최근 보안 사고를 격으면서 과거와 많이 달라진 침해 대응 방식에 놀랍고 참 많이 발전했구나 하는 생각이든다. 그럼 그 발전에 대해서 정리해 보았다. 1. VM기반의 멜웨어 분석 – 이부분은 이미 많이 알려진 부분이기 때문에 크게 애기할 필요가 없는것 같다. Fireeye NX 제품이 대표 제품으로 이제 휴리스틱 기능도 들오갔다고 하니 많이 고도화 되고 있는듯 하다. 2. 호스트 에이전트 실시간 검색/관리 – 일명 EDR로 통하는 이 쪽이 신선했는데 기존에 침해 분석을 중앙에서 가능하도록 해주면서 호스트 탐지 정책은 물론, 즉각적인 정보 수집까지 가능한 막강 제품인것 같다. 어제 처음 접했을때 바로 머리가 한방 먹은것 같은 참신함을 느꼈다. 바로 기능이 어떤건이 있ㄴ지 알고 싶을 만큼 충격이 컸다. 중요 .. 2020. 11. 5.
ElasticSearch Size Management – Shards, logstash Elasticsearch’s default capacity management concept is automatic capacity growth with the addition of nodes. If the capacity is insufficient, a new node is automatically added to the entire capacity of the added node. Check out the URL below for more details. https://www.elastic.co/videos/big-data-search-and-analytics 동영상 · 느긋이 누워 즐기세요 | Elastic Videos www.elastic.co If you want to manage capaci.. 2020. 11. 5.
PART 1 INSTALL ELASTICSEARCH 6 CLUSTER FOR CENTRALIZED SYSLOG https://www.youtube.com/watch?v=ScLFL7UI644 Here we will configure Elasticsearch as a cluster and configure the ability to collect logs centrally via syslog. Step.1 check to ip address for connect to ssh sudo apt-get install ssh Step.2 Install java and apply evn sudo apt-get install software-properties-common sudo add-apt-repository ppa:webupd8team/java sudo apt-get update sudo apt-get install o.. 2020. 11. 4.
Ubuntu Firewall setting By UFW The basic firewall in Ubuntu is UFW. So here’s how to use the basic UFW.. UFW enable/disable sudo ufw enable sudo ufw disable Displays a warning that the firewall will be blocked on activation. Allow and block UFW Port base, Service base: sudo ufw allow / sudo ufw allow 80 sudo ufw allow 80/tcp sudo ufw allow http sudo ufw deny http IP base: sudo ufw allow from sudo ufw allow from 192.168.0.1 su.. 2020. 11. 4.
ELASTICSEARCH – TERM 쿼리 지정한 단어가 들어있는지를 확인한다. GET /_search { “query”: { “filtered”: { “filter”: { “term”: {” programname”: “WHORUEventAuth”} } } } } 다만 단어 하나와 완전히 일치해야 한다.위와 같이 검색한다면 WHORUEventAuth 와 동일한 단어가 들어있는 Document들은 검색대상이 된다. 즉 WHORUEventAuth 가 WHORUEvent 로 검색할 경우에는 검색되지 않는다. NEST를 이용한 검색 구분은 다음과 같다 var request = new SearchRequest { Query = new TermQuery { Field = “programname”, Value = “WHORUEventAuth” } }; 2020. 11. 4.
Google/Bing Search Subject Keyword Recommend Engine – Moz One of the ways that you can write and write well in the past is keywords that are in the title. While you may be able to write these keywords alone, you can use them to find out what keywords are actually used, and you can use them to help you use effective names for your searches. The site below is called Moz. This site is mainly used by me, but it is free, but I recommend it after searching. .. 2020. 11. 4.
Log Analysis -tr, awk, uniq, sort 로그 분석 방법은 침해 사고뿐만 아니라, 장애 상황에서도 유용하게 사용된다. 대다수의 분석 작업에서는 중요한 부분이 얼마나 불필요한 데이터를 제거하고 원하는 데이터를 수집하는냐에 있다. 로그는 모든 메시지를 담고 있어 많은 량의 데이터를 가지고 있다. 이를 어떻게 분석하는가에 따라, 단서를 발견할 수 도 있고, 영영 미궁으로 빠질 수 도 있다. 따라서 로그를 분석할 때는, 전체 데이터를 보기 보다는 중요한 로그를 먼저 보고 해당 로그로부터 단서를 찾아서, 범위를 좁혀 나가는 방식이 좋다. 사건의 특성에 따라 조금씩 다르겠지만, 가장 중요한 것은 시간이다. 사건 발생 시점에 어떠한 로그들이 발생했고 해당 로그가 시스템이 어떻게 조작/동작 하였는지를 알 수 있는 근거가 된다. 그리고 두번째로는 광대한 로그 .. 2020. 11. 4.
The underlying connection was closed – REST API call over HTTPS https://www.youtube.com/watch?v=KW90zdq0il4 {System.Net.WebException: The underlying connection was closed: An unexpected error occurred on a send. ---> System.IO.IOException: Unable to read data from the transport connection: An existing connection was forcibly closed by the remote host. ---> System.Net.Sockets.SocketException: An existing connection was forcibly closed by the remote host at Sy.. 2020. 11. 4.
반응형

티스토리툴바