1/10

DNS

text 주소 => A record

IP 주소 => PTR record

 

\DNS서버는 다른 망에 있는 서버 사용 가능

 

DNS 는 텍스트기반으로 IP 찾아줌 ( 역으로 가능 )

- 정방향 조회: 텍스트 기반으로 IP

- 역방향 조회: IP기반으로 텍스트 

*조회(look up)

 

영역 생성

- 정방향 영역 

- 역방향 영역

 

질의 방법 

- 재귀적 질의: DNS client --> local dns server

- 반복적 질의: dns server --> dns server

 

Auth NS: 사내망 서버 주소 등록

Cache NS: 외부망 서버들의 주소 등록 

 

slave name server: Master name server 백업 용도

 

쿼리

- 헤더

- 질의섹션

 

response

- 헤더

- 질의섹션

- 응답섹션

- 권한섹션

- 추가섹션

 

OP: 정방향0 인지 역방향인지

TC가 0이면 UDP 1이면 TCP

RD가 1이면 반복적 질의 요청 

RA: Rd 제공 여부 

 

---

SplunkServer에서 분석작업

 

SIEM

- 로그를 통합 수집하고 분석

- 각종 공격과 정책 위반을 탐지와 경고 

- 보고서 생성 

- 기업 정보에 대한 종합 관제 솔루션 

 

- 동작 방식: 로그 수집 > 분석 > 상호연관관계 > 보기, 보고서 등

 

상관관계 분석

- 로그들의 연관성 분석해서 망 내의 이상징후를 파악하고 대응

 

정규화

- 상관관계분석을 하기위해서 splunk 명령어를 알고있어야함

---

Splunk 환경 구성

 

- 데이터 추가 시 정규화 작업과 분류 작업 

 

Splunk 검색 명령어

- status=400 categoryId=Null 

 

401 OR 402 OR 403

- 관계연산자 작성은 대문자로 작성

단, 키워드 검색은 대소문자 상관 없음 (error, Error)

"access denied"

- 나열된 문자는 쌍따옴표

 

401 OR (402 OR 403)

- 괄호를 이용해서 우선순위

 

- 시간 점검

 

- 자동완성기능 사용

 

index=main sourcetype=access_combined_wcookie | table clientip, method, productId, status

- 어떤 사용자가 상품을 구매했는지

 

- 필드명은 대소문자 구분

 

rename

- 필드명 변경

Sort

- 정렬

ex) Sort action, -productID 

- action을 오름차순 정렬, productID를 내림차순으로 정렬 

 

dedup

- 중복성 제거하고 한 가지 이벤트만 보여줌 

index=main sourcetype=access_combined_wcookie status=404 | dedup host

 

stats

- 각종 통계 함수를 이용해서 데이터 계산

 

top

- 빈도가 큰 값의 순서 추출 

rare

- 빈도가 적은 값의 순서 추출

eval

- 함수 실행 결과 값을 반환

 

 

---

사내망 로그

HTTP 로그 분석 후 이상징후 탐색

DNS 로그 분석 후 이상징후 탐색

EndPoint 로그 분석 후 이상징후 탐색