Azure Network Watcher 및 오픈 소스 도구를 사용하여 네트워크 침입 검색 수행

패킷 캡처는 네트워크 IDS(침입 검색 시스템)를 구현하고 네트워크 보안 모니터링을 수행하기 위한 핵심 구성 요소입니다. 패킷 캡처를 처리하고 가능한 네트워크 침입 및 악의적인 활동의 서명을 찾기 위한 여러 가지 오픈 소스 IDS 도구가 있습니다. Azure Network Watcher에서 제공하는 패킷 캡처를 사용하여 나쁜 영향을 주는 침입 또는 취약성에 대해 네트워크를 분석할 수 있습니다.

이러한 오픈 소스 도구로 Suricata가 있으며, 의심스러운 이벤트가 발생할 때마다 경고를 트리거하고 네트워크 트래픽을 모니터링하는 규칙 집합을 사용하는 IDS 엔진입니다. Suricata는 향상된 속도와 효율성으로 네트워크 트래픽 분석을 수행할 수 있는 멀티스레드 엔진을 제공합니다. Suricata 및 해당 기능에 대한 자세한 내용을 보려면 Suricata 웹 사이트로 이동하세요.

시나리오

이 게시물에서는 Network Watcher, Suricata 및 탄력적 스택을 사용하여 네트워크 침입 검색을 수행하도록 사용자 환경을 설정하는 방법을 설명합니다.

Network Watcher는 네트워크 침입 검색을 수행하기 위한 패킷 캡처를 제공합니다. Suricata는 패킷 캡처를 처리하고 지정된 위협의 규칙 집합과 일치하는 패킷에 따라 경고를 트리거합니다. Suricata는 이러한 경고를 로컬 컴퓨터의 로그 파일에 저장합니다.

Elastic Stack을 사용하여 Suricata에서 생성하는 로그를 인덱싱한 다음 이를 사용하여 Kibana 대시보드를 만들 수 있습니다. 대시보드는 로그를 시각적으로 표현하고 잠재적인 네트워크 취약성에 대한 인사이트를 빠르게 얻을 방법을 제공합니다.

Azure VM(가상 머신)에서 두 오픈 소스 도구를 모두 설정할 수 있으므로 사용자 고유의 Azure 네트워크 환경 내에서 이 분석을 수행할 수 있습니다.

Suricata 설치

1. VM의 명령줄 터미널에서 다음 명령을 실행합니다.

   sudo add-apt-repository ppa:oisf/suricata-stable
   sudo apt-get update
   sudo apt-get install suricata
   

2. 설치를 확인하려면 suricata -h 명령을 실행하여 전체 명령 목록을 확인합니다.

다른 설치 방법은 Suricata 설치 빠른 시작 가이드를 참조 하세요.

Emerging Threats 규칙 집합 다운로드

이 단계에서는 Suricata를 실행할 규칙이 없습니다. 네트워크에 대한 특정 위협을 감지하려는 경우 고유한 규칙을 만들 수 있습니다. Emerging Threats 또는 Snort의 Talos 규칙과 같은 다양한 공급자의 개발된 규칙 집합을 사용할 수도 있습니다. 이 게시물에서는 자유롭게 사용할 수 있는 Emerging Threats 규칙 집합을 사용합니다.

규칙 집합을 다운로드하고 디렉터리에 복사합니다.

wget https://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz
tar zxf emerging.rules.tar.gz
sudo cp -r rules /etc/suricata/

Suricata를 사용하여 패킷 캡처 처리

Suricata를 사용하여 패킷 캡처를 처리하려면 다음 명령을 실행합니다.

sudo suricata -c /etc/suricata/suricata.yaml -r <location_of_pcapfile>

결과 경고를 확인하려면 fast.log 파일을 읽습니다.

tail -f /var/log/suricata/fast.log

탄력적 스택 설정

Suricata에서 생성하는 로그에는 네트워크에서 발생하는 작업에 대한 유용한 정보가 포함되지만 이러한 로그 파일은 읽고 이해하기 어렵습니다. Suricata를 Elastic Stack과 연결하여 로그에서 인사이트를 검색하고, 그래프화하며 분석하고 인사이트를 끌어낼 수 있는 Kibana 대시보드를 만들 수 있습니다.

Elasticsearch 설치

1. Elastic Stack 버전 5.0 이상에는 Java 8이 필요합니다. java -version 명령을 실행하여 버전을 확인합니다. Java가 설치되어 있지 않은 경우 Azure 지원 Java 개발 키트에 대한 설명서를 참조하세요.

2. 시스템에 맞는 이진 패키지를 다운로드합니다.

   curl -L -O https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-5.2.0.deb
   sudo dpkg -i elasticsearch-5.2.0.deb
   sudo /etc/init.d/elasticsearch start
   

   Elasticsearch를 설치하기 위한 다른 설치 방법은 Elastic 웹 페이지에서 찾을 수 있습니다.

3. 다음 명령을 사용하여 Elasticsearch가 실행 중인지 확인합니다.

   curl http://127.0.0.1:9200
   

   그러면 다음과 같은 예제가 표시됩니다.

   {
   "name" : "Angela Del Toro",
   "cluster_name" : "elasticsearch",
   "version" : {
       "number" : "5.2.0",
       "build_hash" : "8ff36d139e16f8720f2947ef62c8167a888992fe",
       "build_timestamp" : "2016-01-27T13:32:39Z",
       "build_snapshot" : false,
       "lucene_version" : "6.1.0"
   },
   "tagline" : "You Know, for Search"
   }
   

Elasticsearch 설치에 대한 자세한 지침은 설치에 대한Elastic 웹 페이지를 참조하세요.

Logstash 설치

1. 다음 명령을 실행하여 Logstash를 설치합니다.

   curl -L -O https://artifacts.elastic.co/downloads/logstash/logstash-5.2.0.deb
   sudo dpkg -i logstash-5.2.0.deb
   

2. eve.json 파일의 출력에서 읽어오도록 Logstash를 구성해야 합니다. 다음 명령을 사용하여 logstash.conf 파일을 만듭니다.

   sudo touch /etc/logstash/conf.d/logstash.conf
   

3. 파일에 다음 내용을 추가합니다. eve.json 파일의 경로가 올바른지 확인합니다.

   input {
   file {
       path => ["/var/log/suricata/eve.json"]
       codec =>  "json"
       type => "SuricataIDPS"
   }
   
   }
   
   filter {
   if [type] == "SuricataIDPS" {
       date {
       match => [ "timestamp", "ISO8601" ]
       }
       ruby {
       code => "
           if event.get('[event_type]') == 'fileinfo'
           event.set('[fileinfo][type]', event.get('[fileinfo][magic]').to_s.split(',')[0])
           end
       "
       }
   
       ruby{
       code => "
           if event.get('[event_type]') == 'alert'
           sp = event.get('[alert][signature]').to_s.split(' group ')
           if (sp.length == 2) and /\A\d+\z/.match(sp[1])
               event.set('[alert][signature]', sp[0])
           end
           end
           "
       }
   }
   
   if [src_ip]  {
       geoip {
       source => "src_ip"
       target => "geoip"
       #database => "/opt/logstash/vendor/geoip/GeoLiteCity.dat"
       add_field => [ "[geoip][coordinates]", "%{[geoip][longitude]}" ]
       add_field => [ "[geoip][coordinates]", "%{[geoip][latitude]}"  ]
       }
       mutate {
       convert => [ "[geoip][coordinates]", "float" ]
       }
       if ![geoip.ip] {
       if [dest_ip]  {
           geoip {
           source => "dest_ip"
           target => "geoip"
           #database => "/opt/logstash/vendor/geoip/GeoLiteCity.dat"
           add_field => [ "[geoip][coordinates]", "%{[geoip][longitude]}" ]
           add_field => [ "[geoip][coordinates]", "%{[geoip][latitude]}"  ]
           }
           mutate {
           convert => [ "[geoip][coordinates]", "float" ]
           }
       }
       }
   }
   }
   
   output {
   elasticsearch {
       hosts => "localhost"
   }
   }
   

4. Logstash가 파일을 수집할 수 있도록 eve.json 파일에 대해 적절한 권한을 부여해야 합니다.

   sudo chmod 775 /var/log/suricata/eve.json
   

5. 다음 명령을 실행하여 Logstash를 시작합니다.

   sudo /etc/init.d/logstash start
   

Logstash 설치에 대한 자세한 지침은 공식 Elastic 설명서를 참조하세요.

Kibana 설치

1. 다음 명령을 실행하여 Kibana를 설치합니다.

   curl -L -O https://artifacts.elastic.co/downloads/kibana/kibana-5.2.0-linux-x86_64.tar.gz
   tar xzvf kibana-5.2.0-linux-x86_64.tar.gz
   

2. 다음 명령을 사용하여 Kibana를 실행합니다.

   cd kibana-5.2.0-linux-x86_64/
   ./bin/kibana
   

3. Kibana 웹 인터페이스를 보려면 http://localhost:5601로 이동합니다.

   이 시나리오에서 Suricata 로그에 대해 사용된 인덱스 패턴은 logstash-*입니다.

4. Kibana 대시보드를 원격으로 보려면 포트 5601에 대한 액세스를 허용하는 인바운드 NSG(네트워크 보안 그룹) 규칙을 만듭니다.

Kibana 대시보드 만들기

이 게시물에서는 경고에 대한 추세 및 세부 정보를 볼 수 있는 샘플 대시보드를 제공합니다. 이를 사용하려면:

1. 대시보드 파일, 시각화 파일 및 저장된 검색 파일을 다운로드합니다.

2. Kibana의 관리 탭에서 저장된 개체로 이동하고 세 개 파일을 모두 가져옵니다. 그런 다음 대시보드 탭에서 샘플 대시보드를 열고 로드할 수 있습니다.

사용자가 관심 있는 메트릭에 맞는 시각화 및 대시보드를 만들 수 있습니다. Kibana의 공식적인 설명서에서 Kibana 시각화 만들기에 대해 자세히 알아보세요.

IDS 경고 로그 시각화

샘플 대시보드는 Suricata 경고 로그에 대한 다양한 시각화를 제공합니다.

• GeoIP별 경고: IP로 확인되는 지리적 위치에 따라 출처 국가/지역별로 경고의 분포를 보여 주는 맵입니다.

  

• 상위 10개 경고: 가장 자주 트리거된 상위 10개 경고 및 이에 대한 설명을 요약하여 보여 줍니다. 개별 경고를 선택하면 특정 경고와 관련된 정보로 대시보드가 필터링됩니다.

  

• 경고 수: 규칙 집합이 트리거한 총 경고 수입니다.

  

• 상위 20개 ScrIP - 경고, 상위 20개 DestIP - 경고, 상위 20개 SrcPort - 경고, 상위 20개 DestPort - 경고: 상위 20개 IP 및 경고가 트리거된 포트에 대한 원본 및 대상을 표시하는 원형 차트입니다. 트리거된 경고 수 및 경고 종류를 표시하도록 특정 IP 또는 포트로 필터링할 수 있습니다.

  

• 경고 요약: 각 경고의 구체적인 세부 정보를 요약하여 보여주는 표입니다. 각 경고에 대해 관심이 있는 다른 매개 변수를 보여 주도록 이 표를 사용자 지정할 수 있습니다.

  

사용자 지정 시각화 및 대시보드를 만드는 방법에 대한 자세한 내용은 Kibana의 공식 설명서를 참조하세요.

결론

Network Watcher의 패킷 캡처와 Suricata와 같은 오픈 소스 IDS 도구를 결합하여 광범위한 위협에 대한 네트워크 침입 검색을 수행할 수 있습니다.

대시보드를 사용하면 네트워크 내에서 추세 및 변칙을 빠르게 파악할 수 있습니다. 대시보드를 사용하여 데이터를 검사하여 악의적인 사용자 에이전트 또는 취약한 포트와 같은 경고의 근본 원인을 발견할 수도 있습니다. 이 추출된 데이터를 사용하여 다음 방법에 대한 정보에 입각한 결정을 내릴 수 있습니다.

• 유해한 침입 시도로부터 네트워크에 대응하고 보호합니다.
• 네트워크에 대한 향후 침입을 방지하는 규칙을 만듭니다.

다음 단계

경고를 기반으로 패킷 캡처를 트리거하는 방법을 알아봅니다.