Elastic Stack 플랫폼에서 WAF가 식별한 네트워크 스파이크 탐지하기

FTP, SSH 또는 HTTPS에서 교통량 기준선 이상을 조사하는 동안 찾을 수 있는 흥미로운 사례가 많이 있습니다. 이 가이드는 “Imperva WAF – Kibana 대시보드, Watchers 및 ELK 스택 용 머신 러닝” 컨텐츠 팩을 사용하여 WAF에 의해 단일 IP에서 단일 웹 애플리케이션으로 식별된 공격의 비정상적인 급증을 감지하는 방법을 설명합니다.

Elastic Stack의 네트워크 급증 감지를 위한 컨텐츠 팩 다운로드 

1. 1. 로그인 SOC Prime 플랫폼 업무 관련 계정으로.
   2. 이동 위협 탐지 마켓플레이스 > 시작하기.
   3. 선택 검색 네비게이션 패널에서.
   4. 에서 콘텐츠 검색 필드, “imperva waf”을 입력합니다.
   5. “Imperva WAF – Kibana 대시보드, Watchers 및 ELK 스택 용 머신 러닝 컨텐츠 팩”을 클릭하여 컨텐츠 항목 페이지를 엽니다.
   6. 확인 종속성 and 로그 소스 요구사항 섹션을 통해 시스템이 컨텐츠 배포 요구사항을 충족하는지 확인하십시오.
   7. 클릭 다운로드 버튼.

참고: 탐지 콘텐츠 가용성은 현재 SOC Prime 구독 수준에 따라 다릅니다. 에서 자세히 알아보기 https://my.socprime.com/pricing/

Kibana 인스턴스에 컨텐츠 배포하기 

Kibana에 로그인하고 다음 단계를 사용하여 콘텐츠를 가져옵니다:

1. 페이지 오른쪽 상단 모서리의 새 작업 만들기 버튼을 클릭하여 새로운 ML(머신 러닝) 작업을 만듭니다.

   

2. 필요한 인덱스 패턴 또는 저장된 검색 Imperva WAF 로그를 선택하십시오.

   

3. 선택 고급 마법사 목록에서 타일을 선택하여 고급 작업을 만듭니다.

   

4. In the JSON 편집 탭에서, 다운로드한 ML 작업의 JSON 구성을 붙여넣으십시오.
5. 클릭 다음 버튼을 눌러 검증을 통과합니다.
   참고: 다른 필드 템플릿이 있는 경우, JSON 코드에서 해당 변경을 수행하십시오.
6. 검증이 성공적으로 수행되면, 시작 버튼을 눌러 작업 생성을 완료하기 위해 변경 사항을 저장하십시오. 여기에서 시간 프레임을 지정하거나 작업을 실시간 검색으로 설정할 수 있습니다. 
7. 결과적으로, 네트워크 급증 또는 조사를 필요로하는 비정상적인 SSH 트래픽 활동에 대한 시각화를 받게됩니다.
   

궁금한 사항 있으십니까? SOC Prime 플랫폼 채팅을 통해 우리에게 연락하거나 Discord.