홈 SOC 랩 구축
발행: (2025년 12월 27일 오전 07:51 GMT+9)
4 분 소요
원문: Dev.to
Source: Dev.to
개요
이 프로젝트에서는 실제 사이버 공격을 시뮬레이션하고 실시간으로 모니터링하기 위해 완전한 보안 운영 센터(SOC) 홈 랩을 구축했습니다. 이 랩은 공격자의 출처를 식별하고, 행동을 MITRE ATT&CK 프레임워크에 매핑하며, Auditd를 사용한 사전 탐지를 구현하는 방법을 보여줍니다.
아키텍처
가상 환경은 Proxmox에 호스팅되며 세 가지 주요 머신으로 구성됩니다:
| 머신 | OS | 역할 |
|---|---|---|
| Wazuh Manager | Ubuntu | 로그 수집 및 분석을 담당하는 중앙 신경계 |
| Attacker | Kali Linux | 자동화된 무차별 대입 공격을 실행 |
| Victim | Debian | Wazuh 에이전트가 모니터링하는 대상 시스템 |
탐지 및 조사
탐지 기능을 테스트하기 위해 Kali 머신의 Hydra가 피해자에게 비밀번호 추측 공격을 수행했습니다.
- Wazuh는 즉시 Threat Management 대시보드에 해당 활동을 표시했습니다.
- 핵심 증거: 공격자의 IP 주소(
data.srcip)가10.0.0.10으로 식별되어 악성 호스트에서 발생하는 모든 활동을 격리할 수 있었습니다.
서술
“나는 공격자의 IP 주소를
10.0.0.10으로 확인했으며, 이를 통해 악성 호스트에서 발생하는 모든 활동을 격리할 수 있었다.”
적의 전술을 이해하는 것은 전문적인 사고 대응의 핵심 요소입니다.
관련 필드
| 필드 | 데이터 값 | 전문적 의미 |
|---|---|---|
rule.mitre.id | T1110 | 특정 무차별 대입 기법을 식별 |
rule.mitre.tactic | Credential Access | 공격자의 최종 목표를 분류 |
data.srcip | 10.0.0.10 | 차단을 위한 공격자 신원 제공 |
사고 타임라인 분석
- 베이스라인: 자정 이전의 정상 시스템 활동.
- 이상: 이벤트 수가 급증 (> 500)하여 탐지 단계를 표시.
- 해결: 완화 단계 – 악성 IP가 차단되어 알림이 사라짐.
Auditd 통합
표준 로그도 유용하지만, 고보안 환경에서는 Linux Audit Framework(Auditd)를 사용해 행동 트랩을 설정했습니다.
/etc/shadow에 대한 Auditd 규칙 예시
type=SYSCALL msg=audit(...): exe="/usr/bin/cat" key="shadow_access"민감한 시스템 파일에 watch를 설정했습니다. wazuh-logtest를 사용해 Wazuh가 이 메시지들을 (규칙 80700)으로 올바르게 그룹화하고 추가 알림을 생성함을 확인했습니다.
문제 해결
설정 중 Debian 에이전트의 ossec.conf 파일에서 “Missing location element” (Error 1902) 오류가 발생했습니다. 해결 단계:
wazuh-logcollector -t를 실행해 XML 구문을 검증합니다.- 누락된
<location>태그를 찾습니다. - 필요한 태그를 추가하고 Wazuh 에이전트 서비스를 재시작합니다.