기술문서
>보안
오픈소스 SIEM/로그 관리 솔루션의 구축에 필요한 패키지, 컴포넌트
|
평점 | 10.0 | 라이센스 | free |
|---|---|---|---|---|
| 사용자평점 | 10.0 | 운영체제 | ||
| 다운로드 | 1 | 파일크기 | 0 | |
| 제작사 | LUZENSOFT | 등록일 | 2025-06-17 16:05:36 | |
| 조회수 | 2 |
오픈소스 SIEM/로그 관리 솔루션별로 주요하게 설치해야 하는 패키지나 컴포넌트들을 정리해 드리겠습니다. 각 컴포넌트는 특정 역할을 담당하며, 함께 작동하여 완전한 시스템을 구성합니다.
1. ELK 스택 (Elasticsearch, Logstash, Kibana)
ELK 스택은 핵심 3가지 컴포넌트와 로그 수집을 위한 'Beats'군으로 구성됩니다.
Elasticsearch:
역할: 로그 및 이벤트 데이터의 저장, 인덱싱, 검색, 분석을 담당하는 분산 검색 및 분석 엔진.
설치 필요:
Java Development Kit (JDK): OpenJDK 17 (혹은 Elasticsearch 버전에 맞는 권장 JDK 버전)
Elasticsearch 패키지:
.deb(데비안/우분투),.rpm(레드햇/CentOS), 또는.zip/.tar.gz(수동 설치) 파일.
Logstash:
역할: 다양한 소스에서 데이터를 수집하고, 필터링, 파싱, 변환 등 전처리 후 Elasticsearch로 전송하는 데이터 처리 파이프라인.
설치 필요:
Java Development Kit (JDK): OpenJDK 17 (혹은 Logstash 버전에 맞는 권장 JDK 버전)
Logstash 패키지:
.deb,.rpm,.zip/.tar.gz파일.(선택 사항) 필요한 입력/필터/출력 플러그인 (대부분 기본 포함되어 있으나, 특정 데이터 소스/변환을 위해 추가 설치 필요할 수 있음).
Kibana:
역할: Elasticsearch에 저장된 데이터를 시각화하고 대시보드를 생성하며, 로그 탐색 및 쿼리를 위한 웹 인터페이스 제공.
설치 필요:
Kibana 패키지:
.deb,.rpm,.zip/.tar.gz파일.
Beats (데이터 수집 에이전트):
역할: 서버, 컨테이너, 네트워크 장비 등 다양한 소스에서 데이터를 수집하여 Logstash 또는 Elasticsearch로 전송하는 경량 에이전트.
설치 필요:
Winlogbeat (Windows용): Windows 이벤트 로그 수집.
Filebeat (Linux/Windows/macOS용): 파일 로그, Syslog 수집.
Metricbeat: 시스템 메트릭(CPU, 메모리 등) 수집.
Packetbeat: 네트워크 패킷 데이터 수집.
Auditbeat: 시스템 감사(audit) 데이터 수집.
(선택 사항) 각 Beat에 맞는 모듈 설정 (예:
filebeat modules enable apache2).
2. Graylog
Graylog는 자체 컴포넌트 외에 백엔드로 Elasticsearch와 MongoDB를 사용합니다.
Graylog Server:
역할: 로그 수집, 처리, 저장, 경고, 대시보드 기능을 총괄하는 메인 서버. 웹 인터페이스도 포함.
설치 필요:
Java Development Kit (JDK): OpenJDK (Graylog 버전에 맞는 권장 JDK 버전).
Graylog Server 패키지:
.deb,.rpm파일.Elasticsearch 클라이언트 라이브러리: Graylog 설치 시 자동으로 종속성으로 설치되거나 수동으로 구성.
Elasticsearch:
역할: Graylog가 수집한 로그 데이터의 실제 저장 및 인덱싱을 담당.
설치 필요:
Java Development Kit (JDK): OpenJDK (Graylog 및 Elasticsearch 버전에 맞는 권장 JDK 버전).
Elasticsearch 패키지:
.deb,.rpm, 또는.zip/.tar.gz파일. (Graylog와 호환되는 버전 확인 필수)
MongoDB:
역할: Graylog 서버의 메타데이터, 사용자 설정, 스트림 구성, 대시보드 정의 등 운영 관련 데이터를 저장.
설치 필요:
MongoDB Community Edition: 시스템에 맞는 패키지.
Graylog Sidecar (데이터 수집 에이전트):
역할: Windows, Linux 등 다양한 OS에서 로그 파일, 이벤트 로그 등을 수집하여 Graylog 서버로 전송하는 경량 에이전트.
설치 필요:
Graylog Sidecar 패키지:
.deb,.rpm,.msi(Windows) 파일.Collector 백엔드 (예: Filebeat): Sidecar가 사용하는 실제 로그 수집 엔진. Sidecar 설정에 따라 Filebeat 또는 Winlogbeat가 에이전트 시스템에 설치될 수 있습니다.
3. Wazuh
Wazuh는 Wazuh 매니저, 에이전트, 그리고 Kibana 기반의 대시보드 컴포넌트로 구성되며, 백엔드로 Elasticsearch를 사용합니다.
Wazuh Manager:
역할: 에이전트로부터 로그 및 보안 데이터를 수신하고, 이를 분석하며, 규칙을 기반으로 위협을 탐지하고, 경고를 생성하며, 에이전트를 관리하는 핵심 엔진.
설치 필요:
Wazuh Manager 패키지:
.deb,.rpm파일.Elasticsearch 클라이언트 라이브러리: Wazuh 매니저가 Elasticsearch와 통신하기 위해 필요.
Open Distro for Elasticsearch / Opendistro Security Plugin (선택 사항, Wazuh 4.x 이하): Elasticsearch 보안을 위해 사용될 수 있었으나, 최신 Wazuh 버전은 Elastic Stack의 기본 보안 기능을 활용하거나 다른 인증 메커니즘을 사용.
Wazuh Agent:
역할: 모니터링할 각 엔드포인트(서버, 워크스테이션)에 설치되어 시스템 로그, 이벤트 로그, 파일 무결성 변경, 프로세스 정보, 레지스트리 변경 등을 수집하고 Wazuh 매니저로 전송.
설치 필요:
Wazuh Agent 패키지:
.deb,.rpm,.msi(Windows),.pkg(macOS) 등 각 OS에 맞는 파일.
Elasticsearch:
역할: Wazuh 매니저가 처리한 모든 보안 이벤트 및 로그 데이터를 저장하고 인덱싱.
설치 필요:
Java Development Kit (JDK): OpenJDK (Wazuh 및 Elasticsearch 버전에 맞는 권장 JDK 버전).
Elasticsearch 패키지:
.deb,.rpm, 또는.zip/.tar.gz파일. (Wazuh와 호환되는 버전 확인 필수)
Kibana (Wazuh Plugin 포함):
역할: Elasticsearch에 저장된 Wazuh 데이터를 시각화하고, Wazuh 매니저를 관리하며, 보안 이벤트를 분석하는 웹 인터페이스.
설치 필요:
Kibana 패키지:
.deb,.rpm, 또는.zip/.tar.gz파일.Wazuh Kibana Plugin: Kibana에 Wazuh 기능을 추가하기 위한 플러그인.
공통적으로 필요한 것:
운영 체제: 일반적으로 CentOS/RHEL, Ubuntu/Debian과 같은 Linux 배포판 (서버 컴포넌트용).
SSH 클라이언트: 원격 서버에 접속하여 설치 및 관리를 위해 필요.
방화벽 설정: 각 컴포넌트 간의 통신을 허용하도록 방화벽 규칙을 설정해야 합니다 (예: Elasticsearch 9200/9300, Kibana 5601, Logstash 5044/5000, Graylog 9000/12201, Wazuh 1514/55000).
