Wazuh XDR 이란?

 

보안 사고는 외부만의 문제가 아니라 내부자의 부주의, 잘못된 설정, 클릭 한 번의 실수로도 사고가 발생할 수 있다. 기존의 백신 시그니처 탐지는 한계에 도달했고, 최신 공격은 지능적이며 패턴을 찾기가 힘들다. 따라서 시그니처 기반은 과거 공격 패턴에만 반응하여 새로운 위협은 탐지할 수 없다. 누가, 언제, 어떤 권한으로 무엇을 실행했는지를 실시간 분석하여 행위를 기반으로 탐지하는 것이 추가적으로 필요하다.

 

단말 보안 솔루션의 역할?

 

조직의 정보자산을 외부 공격, 내부 위협, 기술적 오류 등 다양한 위험 요소로부터 보호하기 위해 사용하는 소프트웨어 또는 하드웨어 기반의 보안 솔루션 기술이다. 또한 공격을 차단하는 동시에 공격이 성공했을 경우에도 비즈니스 연속성과 복원력을 보장한다.

 

Wazuh는 통합 위협 탐지 (XDR), 로그기반 이상 탐지 (SIEM), 단말 행위 감시 (EDR)의 역할을 모두 수행할 수 있는 통합 보안 솔루션이다.

SIEM은 전체적인 보안 이벤트와 로그를 분석하기에는 탁월하지만 공격에 대해 즉각적인 대응은 불가능하다.

EDR은 엔드포인트에서 발생하는 이상행위를 실시간으로 탐지 및 대응하는 솔루션이다. 파일 생성 및 삭제, 프로세스 실행, 레지스트리 수정, 네트워크 연결 등을 감시한다.

XDR은 SIEM, EDR, 클라우드, 이메일, 네트워크 보안 등으로부터 전부 통합하여 하나의 플랫폼에서 탐지하고 대응까지 자동으로 하는 종합보안 솔루션이다.

 

XDR은 단편적인 이상 행위 하나에 반응 하는 것이 아니라, 공격자의 전체 침투 시나리오를 파악해서 조치한다. 예를들면 PC에서 이상프로세스가 실행되며, 동시에 클라우드에 이상 접근이 발생한 것을 기존 시스템이라면 이 두 사건을 별개의 이벤트로 볼 수 있지만 XDR은 이것을 하나의 공격 흐름으로 인식하여 탐지한다.

 

XDR 프로세스

통합 데이터 수집 -> 상관 분석 -> 지능형 위협 탐지 -> 자동 대응 ->  중앙관리 및 시각화

 

Wazuh는 확장성 부족 및 시각화 부재 등의 문제를 해결하여 SIEM과 XDR의 기능을 통합한 오픈소스 보안 솔루션이다.

파일 무결성 검사 (FIM), 취약점 탐지, 정책 감사, 위협 인텔리젼스 연동, MITRE ATT&CK 프레임워크 기반의 공격 기법 매핑 및 자동화 대응이 가능하다.

 

 

Wazuh 구조

Wazuh 동작 방식

 

1. 다양한 OS에 설치되는 에이전트를 통해 각 보안 로그들을 수집하고, 암호화된 채널을 통해 Wazuh 서버로 전달.

2. Wazuh 서버는 분석 및 탐지 작업을 한다. 로그를 분석하고 룰셋과 비교하여 보안 위협을 탐지하고, Filebeat를 이용하여 수집된 로그를 인덱서로 전달한다. 처리 데이터가 많다면 클러스터 구조로 데이터를 분산시켜 데이터 처리가 가능하다. 클러스터는 마스터 노드, 워커 노드로 구성되며, 마스터 노드는 에이전트 관리 및 설정 파일 배포를 담당한다. 워커 노드는 이벤트를 처리하고 룰을 적용하는 수집 및 분석 업무를 담당한다.

3. 인덱서는 전달받은 분석 결과서를 대규모 인덱싱을 통해 검색 효율을 가능하게 하며, 데이터 스토리지를 이용하여 분석 결과를 저장한다.

4. 대시보드는 보안 데이터를 시각화로 변경한다.

 

 

Wazuh 설치 방식

 

단일 노드 설치

Server, Indexer, Dashboard를 한 서버에 모두 설치하는 방식이다.

장점 : 설치가 쉽고 빠르며 관리가 간편하다. 테스트나 교육용 환경에 적합하다.

단점 : 데이터 양이 많아지면 성능과 안정성에 문제가 발생한다.

단일 노드 방식으로 설치된 Wazuh 서버에서 위의 명령어로 3가지의 Wazuh 서비스가 올라온 것을 확인 할 수 있다.

 

Wazuh서버의 설정 파일인 ossec.conf 파일을 열어보자.

 

데이터 송수신 통신방식 설정 Tag

 

취약점 탐지와 관련된 Tag

인덱서와의 통신 방식 설정 Tag (현재 단일모드로 127.0.0.1)

Agent 인증 기능을 담당하는 Tag

 

 

멀티 노드 설치

Server, Indexer, Dashboard를 서로 다른 서버에 설치하는 방식이다.

장점 : 부하를 분산 시킬 수 있으며, 각 컴포넌트 별로 최적화하기에 용이하여 안정성과 성능이 높다. 고가용성 및 확장성이 요구되는 실무 환경에 적합하다.

단점 : 네트워크 설정 및 TLS 인증 구성이 필요하다. 따라서 초기 구축은 다소 복잡할 수도 있다.

 

요약

1. Wazuh 시스템은 Agent, Server, Indexer, Dashboard로 구성되고 각 컴포넌트의 통신은 TLS 암호화 된다.

2. Agent는 엔드포인트에서 이벤트들을 탐지하여 서버로 전송한다.

3. 서버는 수신된 데이터를 디코딩하고 분석한 뒤, 필요한 정보를 저장한 후 Filebeat를 통해 Indexer에게 전송한다.

4. Indexer는 데이터 검색이 용이하도록 인덱싱하고 정리하여 저장하는 데이터베이스다.

5. Dashboard는 정리된 데이터를 조회하고 시각화 해주어 사용자가 시스템 보안 상태를 직관적으로 파악할 수 있게 해준다.

6. Wazuh는 사용 목적에 따라 설치 방식이 크게 단일 노드 설치와 멀티 노드 설치로 나뉜다.