Tlog

다운로드 5
업데이트 2024. 6. 25.

네트워크 설정 탐색

tlog 터미널 로그에서 리눅스 네트워크 설정 조회 명령을 탐지합니다.

개요

  • 중요도: 하
  • 유형: 실시간 탐지
  • 로그 스키마: Scribery tlog 레코딩 (scribery-tlog-recording)
  • 대상 수집모델
    • Scribery tlog

쿼리

명령줄에서 아래 명령어 패턴을 탐지합니다.

  • ip a, ip addr
  • ifconfig
  • route
  • arp
| eval pattern = groups(cmd_line, "(\\bip\\s+a\\b)|(\\bip\\s+addr\\b)|(\\bifconfig\\b)|(\\broute\\b)|(\\barp\\b)")
| search isnotnull(pattern)
| eval pattern = trim(strjoin("\n", foreach(if(isnull(_1), "", _1), pattern)))

메시지

  • $hostname에서 $user 계정이 네트워크 설정 탐색 ($pattern)

출력 필드 순서

  • _log_time, pattern, hostname, user, term_type, cmd_line, output, in_bin, out_bin

위협 분석

  • 공격자는 네트워크 설정을 확인한 후에 목표 네트워크에 어떻게 접근할 것인지 계획을 수립합니다.

오탐 유형

  • 정상적인 네트워크 설정 조회 시에도 탐지되므로, 이후에 이어지는 TTP 이벤트를 추적하여 이상 여부를 확인해야 합니다.

대응 방안

  • 네트워크 설정 조회는 일반적인 운영체제 기능을 사용하는 것이기 때문에, 이에 대해 특별히 대응 조치할 내용은 없습니다.

MITRE ATT&CK