elasticsearch query2 Elasticsearch Lucene Query 사용 사례 - 2편 보안 위협 이벤트는 하루에도 수천 건씩 발생중인데요. 우리가 잘 알아고 있는 SQL Injection이나 XSS, Brute Force 공격등 종류도 매우 다양합니다. 이번 시간에는 코인 채굴 통신 로그를 찾기 위한 효과적인 쿼리와 악의적 서버와의 통신(C&C 서버) 탐지 방법에 대한 사례를 중심으로 살펴보도록 하겠습니다. 이와 같은 실제 Elasticsearch Query를 응용하고 활용하면 실무에서 보안 로그를 분석하는데 도움이 될 것입니다. 코인 채굴(mining) 관련 통신 로그 필터링 예제 코인 채굴 악성 활동은 네트워크 트래픽에서 매우 특이한 패턴을 보입니다. 이를 탐지하기 위한 쿼리 구조는 다음과 같은 형태를 가집니다. 조건 1: 특정 포트를 대상으로 하는 트래픽 탐지 코인 채굴은 일반적으.. 2025. 6. 10. Elasticsearch Lucene Query 사용 사례 - 1편 제가 근무중인 보안팀에서는 수많은 보안 위협 이벤트에 대한 탐지 및 분석용으로 Elasticsearch 플랫폼을 이용중에 있는데요. 이번 글에서는 엘라스틱서치의 기본 쿼리 문법에 대해 예시를 들어 보안 위협 이벤트 발생시 어떻게 분석하는지 설명드리도록 하겠습니다. 엘라스틱서치는 Lucene이라는 검색 엔진 오픈 소스가 내장되어 있습니다. Lucene Query 문법 (간단한 몇 가지만 숙지하면 누구나 쉽게 검색 가능합니다) AND: 그리고OR: 혹은NOT: 제외 같은 의미의 다른 표현도 사용 가능합니다. &&: AND||: OR!: NOT * null 값이 없는 경우 예시: source.country_code2에 값이 null이 아닌 로그만 검색할 경우 _exists_:source.country_code.. 2025. 6. 10. 이전 1 다음
