5주차 과제 및 수업내용

 

Object : ELK 또는 Splunk를 파악하여 클라우드 모니터링 및 대응 방안 이해
Key Result : AWS, Azure 로그 수집하여 Splunk, ELK로 어떤 로그 구문을 분석해야 하는지 정리 (1~2Page 문서)

 

5주차 주제 : ELK 또는 Splunk를 파악하여 클라우드 모니터링 및 대응 방안 이해

 

 

1. ELK(ElasticSearch, Logstash, Kibana)

 

 ELK는 3가지 오픈소스 소프트웨어 Elastic Search, LogStash, Kibana의 조합을 말합니다. 각 제품이 연동되어 데이터 수집 및 분석 툴로서 동작합니다.

 

 

 

2. Splunk

 Splunk는 로그를 수집하고 사용자가 원하는 결과를 추출하는 대용량 로그 수집/분석 시스템이다.

 

 

2. 로그 분석 사례(ELK)

 

1) 위메프 : AWS 클라우드 환경의 비정형 위협탐지를 위한 머신러닝 도입

 

① abnormal url에 탐지

 

 이 job은 비지도학습을 통해 내부 시스템 간의 통신이나 정상사용자의 Request를

 지속적으로 학습하여 패턴과 다른 abnormal url을 찾는 컨셉입니다.

 정상적인 url의 경우 유사한 패턴이 중복하여 지속적으로 학습되기 때문에 위험도

 가 점차 감소하게 된다.

 

② AWS Cloudtrail과 연동하여 security group의 생성, 수정 삭제 관련 이상행위 탐지

 

 이 job은 AWS의 감사 로그가 저장되는 Cloudtrail에서 security group의 변동사항을

 로깅하는 감사이벤트를 필터하여 학습시켰습니다.

 자연스레 관련 작업이 많은 인프라나 보안팀원들의 계정들은 누적학습이 되어 위험

 도가 낮아지지만 그 외 사용자의 경우에는 비이상적인 이벤트로 간주해 알람이 발

 생합니다.

 

참고 문헌

[1] https://peemangit.tistory.com/343

[2] https://potato-yong.tistory.com/140

[3] https://www.elastic.co/kr/customers/wemakeprice

 

[ 5주차 수업 내용 ]

 

10:00 - 10:20 = 근황 토크 & 멘티끼리 서로 가르쳐 주기 (과제 요약하여 발표 // 과제 토론 1회, 주제 토론 1회) & 과제 피드백 

10:25 - 10:45 = ELK Stack 데이터 분석 

10:50 - 11:10 = Splunk 데이터 분석

11:15 - 11:35 = ELK&Splunk 검색 구문 활용

11:40 - 12:00 = 6주차 과정 이해를 위한 필수적인 실습

출처: https://twodragon.tistory.com/581 [Twodragon]

클라우드 시큐리티 과정 2기 - 5주차 Splunk와 ELK 데이터 분석

 

6주차 (다음주 휴식 후 ~ 3/17일까지)
Object : 전체적인 AWS/Azure 자료를 통합하여 퍼블릭 클라우드 보안 문서화
Key Result : 지금까지 AWS/Azure 작성한 문서를 통합하여 정리 (6~10Page 문서)

 

다음주 한주는 정보보안기사 시험을 보는 분들이 있어서 한 주 쉬어가기로 하였다!

 

5주차 수업은 ELK Stack과 Splunk 데이터 분석을 하였고, 내용이 상당히 어려웠다.

한번도 Splunk나 ELK를 다뤄보지 않은 나로써는 어려운게 당연했다.

 

기본적인 ELK 구성은 docker-compose로 구성해볼 예정이고, 로그 분석에 대한 내용은

ELK Demo, Splunk Cloud를 활용해볼 예정이다.

 

마지막으로 6주차 과제는 아래와 같다.

 

6주차 (다음주 휴식 후 ~ 3/17일까지)
Object : 전체적인 AWS/Azure 자료를 통합하여 퍼블릭 클라우드 보안 문서화
Key Result : 지금까지 AWS/Azure 작성한 문서를 통합하여 정리 (6~10Page 문서)

 

이상입니다!