Unique Life

flume 운영 쉬워 보이는데 은근 오래걸린다 ㅋㅋ

flume 설치

flume 설치전에 자바는 설치해야한다!!

-> java 설치 관련 http://horae.tistory.com/entry/java-install

다운로드

https://flume.apache.org/download.html 

1. flume 다운로드

wget http://apache.mirror.cdnetworks.com/flume/1.6.0/apache-flume-1.6.0-bin.tar.gz

2. 압축 해제

tar -xvf apache-flume-1.6.0.bin.tar.gz

3. 파일 이동. 

mv apache-flume-1.6.0.bin/ /usr/local/flume/

--> 경로는 임의로 지정하는 거임..

4. 자바 홈 설정

gedit /etc/profile

source /etc/profile

5. conf 파일 설정

--> cd /usr/local/flume/conf 후

cp flume-conf.properties.template example.conf => 복사 후

밑에 내용 example.conf에 입력

6.  flume- ng 실행

./bin/flume-ng agent -c conf -f conf/example.conf -n a1 -Dflume.root.logger=INFO,console

==> flume 실행

다른 터미널로 telnet 접속 후 메시지 입력

telnet localhost 44444

**warn 뜨는 경우가 있음..

대부분 파라미터 잘못이거나 경로가 잘못된 경우가 많다.

잘못된 파라미터를 써서 경고가 뜨는 것이다.

6번의 명령어로 입력하면 경고 사라짐!!

향후 추가적인 설정은 UserGuide에서 보고 따라 하면 된다

주 공격 통로 : 이메일, SNS통한 악성 링크, USB

2차 확산 : SMB , RAT

표적형 이메일 공격 흐름

표적형 이메일의 헤더 정보를 주로 살펴 봐야 한다.

표적형 이메일을 방어 할려면..

1. 이메일 헤더를 통한 선별

2. 이메일에 담겨 있는 첨부파일 분석

-Word

-Excel

-PPT

-PDF

-HWP

-Rich Text Format

--> Zero Day 취약점은 어케 막아야 할까..?

3. 이메일에 담겨 있는 URL 분석

위협 탐지

1. 표적형 이메일 수신자에 의한 탐지

2. 안티바이러스 게이트웨이, 안티바이러스 소프트웨어에 의한 탐지

3. 감사로그에 의한 탐지

4. MPS 등 멀웨더 대책 제품에 의한 탐지

5. 자산관리 툴에 의한 멀웨어 탐지

6. 앤드 포인트 대책 툴, 호스트형 IPS등에 의한 멀웨어 탐지

7. IPS, NGF 에 의한 탐지

8. 프록시 서버, URL 필터 로그에서 탐지

공격 트리거

중요한것

1. 압축과 업로드 관련 정보를 파악

2. Windows Prefetch 등 명령어 흔적 남는 곳을 파악

궁금한것

1. 다운로더의 패킷을 잡아 낼 수 있을까??

python -m SimpleHTTPServer