Wazuh XDR 통합 로그 분석

Discover에서 로그 필터링 기술을 정리해봤다. 윈도우에서 ubuntu에 ssh 접속 한 로그를 확인해봤다.

 

- Discover 메뉴의 필드 구성 및 DQL(Document Query Language) 필터링 문법 활용

- Ubuntu와 Windows 운영체제별 로그 확인

- ossec.conf 파일과 log_alert_level 설정 이해

 

테스트 구성도

 

 

 

 

Wazuh alerts는 Wazuh 에서 생성되는 보안 경고 데이터를 저장하는 인덱스다.

 

 

Wazuh monitoring 은 Wazuh 자체의 상태 및 모니터링 정보를 저장하는 인덱스다.

 

Wazuh statistics는 Wazuh 의 통계 데이터를 저장하는 인덱스다.

 

 

 

Wazuh에서 로그를 검색하고 필터링하는 쿼리 언어다.

 

DQL 주요 문법

 

 

SSH 접속 테스트

윈도우에서 Ubuntu의 root 계정으로 ssh 접속 시도 했을 때 실패했다.

 

이제 ubuntu 계정으로는 ssh 접속해봤을 땐 정상 접속 됐다.

 

이제 로그를 확인해보자

 

먼저 ubuntu에서 journald, auth 로그를 확인해봤다.

 

journald 명령어로 로그를 확인했다.

 

접속 실패와 성공 로그를 확인할 수 있다.

 

auth 로그를 살펴보자.

 

이것도 접속 실패와 성공 로그를 확인할 수 있다.

 

 

이제 Windows에서 로그를 확인해보자.

 

 

해당 경로에서 Security 이벤트 로그를 확인해봤다.

 

 

여기에서 네트워크 플랫폼을 허용했을 때 기록되는 이벤트 ID인 5156 으로 기록된 것을 볼 수 있다.

 

 

Sysmon 로그에서도 동일하게 목적지 IP 까지 보이는 것을 확인했다.

 

이제 Wazuh에서의 로그를 살펴보자.

 

 

Discover에서 DQL에 agent.id:001 로 우분투의 에이전트 아이디를 입력하여 확인해보면 sudo su 명령어를 통해 권한 상승 한 것도 알 수 있다.

 

 

좌측의 필터링 필드에 rule.description을 Selected Fields에 놓으면 각 로그의 설명이 깔끔하게 보여진다.

 

 

agent.id:002 로 윈도우의 로그도 살펴보면 ssh 접속이 된 로그를 확인 할 수 있다.

 

 

selected fields에 processName, parentprocessName, commandLine 필드를 넣으면 어떤 부모 프로세스에서부터 나왔는지, 어떤 명령어로 실행됐는지 확인할 수 있다.

 

 

 

agent의 ossec.conf 파일에서 아래의 레벨은 없을 것이다. 레벨 3은 default값으로 명시되어있지 않음음으로 변경하고 싶다면 직접 작성하여 명시하여야 한다.

 

Server의 ossec.conf 를 보면 event ID 3번을 트리거하는 설정이며, 레벨 수준은 0으로 지정되어있다. 이것은 비교적 중요도가 낮은 이벤트로 분류된 것이다. 

 

이것을 Agent에서도 레벨 0이더라도 로그를 전송하게끔 하려면 아래와같이 설정하면되지만 많은 자원을 소모하게 된다.

 

 

요약

 

- Discover 메뉴에서 DQL 문법을 통해 로그를 필터링 하거나 필드 구성을  변경하여 탐지된 로그를 쉽게 식별할 수 있다.

- Windows 에서 Ubuntu로 SSH 접속을 한 기록은 Ubuntu에서는 journald 로그, auth.log. 에서 확인할 수 있으며, Windows는 Security, Sysmon 이벤트로 확인할 수 있다.

- Wazuh는 모든 로그를 수집해오는 것이 아니라 기본적으로 룰 레벨이 3 이상인 룰에 트리거된 로그만 수집한다.