Security Onion에서 Suricata가 탐지한 SYN Flood 경고 메시지를 확인하는 방법을 상세히 안내드리겠습니다. 경고 메시지를 확인하기 위해 Alerts 페이지를 사용하며, Suricata가 탐지한 공격 시도들을 시각적으로 분석할 수 있습니다.
1. Security Onion에 로그인
1.
Security Onion의 웹 인터페이스에 접속합니다.
2.
사용자의 관리자 계정으로 로그인합니다.
2. Alerts 페이지로 이동
1.
로그인 후, 왼쪽 메뉴에서 "Alerts" 메뉴를 클릭합니다.
•
"Alerts"는 Suricata 또는 다른 탐지 시스템(Suricata, Zeek 등)에서 발생한 경고 메시지들을 표시하는 곳입니다.
2.
"Alerts" 페이지에서 Suricata가 탐지한 다양한 경고들이 표시됩니다.
3. SYN Flood 관련 경고 필터링
1.
경고 목록 필터링:
•
페이지 상단에 검색 필드가 있습니다. 여기에서 "SYN Flood" 또는 **"SYN"**이라는 키워드를 입력하여 해당 경고만 필터링할 수 있습니다.
•
Suricata는 SYN Flood 관련 경고를 감지할 때, 경고 메시지에 "SYN Flood", "Denial of Service", "DoS" 등의 키워드를 포함할 수 있습니다.
2.
규칙 ID(sid)로 필터링:
•
Suricata는 특정 규칙에 대한 경고에 SID(Suricata Rule ID)를 부여합니다. SYN Flood 탐지 규칙의 경우 SID가 2019404일 수 있습니다. 이 SID 번호를 필터로 사용하여 SYN Flood 관련 경고만 볼 수 있습니다.
3.
경고 상세 정보 확인:
•
경고 항목을 클릭하면 세부 정보를 볼 수 있습니다. 이 정보에는 탐지된 트래픽에 대한 패킷 정보, 공격 소스와 목적지 IP, 포트 정보, 탐지된 규칙 등이 포함됩니다.
4. 공격 트래픽 분석
1.
경고 항목 클릭:
•
SYN Flood 경고 메시지를 클릭하면, 해당 경고와 관련된 세부 정보를 확인할 수 있습니다.
•
Source IP와 Destination IP, 공격에 사용된 포트 정보, 탐지된 트래픽의 크기와 반복 횟수 등의 상세 정보가 표시됩니다.
2.
PCAP 파일 다운로드:
•
필요에 따라, 경고와 관련된 트래픽의 PCAP 파일을 다운로드하여 패킷을 추가 분석할 수 있습니다.
•
경고 세부 정보 페이지에서 PCAP 다운로드 옵션을 사용할 수 있습니다. 이를 통해 Wireshark와 같은 도구에서 패킷을 더 자세히 분석할 수 있습니다.
5. 탐지된 경고의 시각적 분석 (Kibana와 연동)
1.
Suricata에서 탐지된 경고를 Kibana와 연동하여 시각적으로 분석할 수 있습니다.
•
Alerts 페이지에서 경고가 발생한 시간대와 트래픽 패턴을 Kibana 대시보드에서 분석할 수 있습니다.
•
Kibana에서 트래픽 패턴이나 시간별 경고 발생 추이를 확인하면, SYN Flood 공격이 지속적으로 발생하는지, 특정 시간에 집중적으로 발생하는지를 시각적으로 확인할 수 있습니다.