팔로알토 네트웍스 방화벽

구독
다운로드 178
업데이트 2024. 2. 21.

내부 SSH 접속 탐지

내부망 호스트에서 내부망의 다른 호스트로 SSH 접속하는 경우 탐지합니다.

개요

  • 중요도: 하
  • 유형: 실시간 탐지
  • 로그 스키마: 세션
  • 대상 수집모델
    • Palo Alto Networks NGFW (Syslog)

쿼리

팔로알토 네트웍스 차세대 방화벽 수집 모델에 대해 아래 스트림 쿼리를 적용하여 실시간 탐지를 수행합니다. 팔로알토 네트웍스 방화벽은 L7 프로토콜을 식별하므로 포트 번호에 관계없이 SSH 접속을 정확하게 식별할 수 있습니다.

| search app == "ssh" and protocol== "TCP"
| matchnet field=src_ip guid="bb994ca4-1471-4b91-89f2-99a61bd529b5" verify=f
| matchnet field=dst_ip guid="bb994ca4-1471-4b91-89f2-99a61bd529b5" verify=f
  • 내부망 네트워크 대역: bb994ca4-1471-4b91-89f2-99a61bd529b5

위협 분석

  • 내부 SSH 접속 탐지 이벤트가 발생하기 이전 시점에, 이벤트의 출발지 IP를 대상으로 침해 의심 징후가 있는지 분석합니다.

오탐 유형

  • 사용자의 정상적인 SSH 접속도 탐지하므로, 특정 내부 IP 주소에서 특정 서버로 SSH 접속하는 것이 허용된 경우에는 탐지 예외 조건을 추가하여 조정합니다.

대응 방안

  • SSH 접속 허용 계정 제한
    • sshd_config 설정 파일에 AllowUsers나 DenyUsers 설정을 추가하여 접속 가능한 SSH 계정을 제한합니다.
  • SSH 접속 위치 제한
    • sshd_config 설정 파일에 Match User 설정을 추가하여 특정 IP 주소에서만 접속을 허용합니다.

MITRE ATT&CK