보안교과서
[SK shieldus 새싹 성동1기] AWS SPLUNK 본문
https://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/cloudtrail-log-file-examples.html
CloudTrail 로그 파일의 예 - AWS CloudTrail
CloudTrail 로그 파일의 예 CloudTrail은 계정에 대한 이벤트를 모니터링합니다. 사용자가 추적을 생성하면 CloudTrail에서 이러한 이벤트를 로그 파일 형태로 Amazon S3 버킷에 전달합니다. CloudTrail Lake에
docs.aws.amazon.com
계정에 대한 모니터링
cloudtrail
1. Frothly의 AWS 환경에서 AWS 서비스(성공 또는 실패)에 액세스한 IAM 사용자를 나열합니까? 답변 안내: 알파벳 순서로 공백 없이 쉼표로 구분됩니다. (예: ajackson,mjones,tmiller)
답변 형식: ******,****,*************,*********
user_arn >> iam user
user_type : 일반 사용자
user type을 일반 사용자롤 놓으면 1번 해결 가능
user arn
1번에 대한 답
ep :end point
그 다음 user 정보 확인으로 확인
3. 웹 서버에서 사용되는 프로세서 번호는 무엇입니까? 답변 안내: 모든 특수 문자/구두점을 포함하십시오. (예: Intel Core i7-8650U의 프로세서 번호는 i7-8650U입니다.)
답변 형식: *******
intel 이나 amd 다
찾아보면 5개중 하나..?
- cpu
- hardware
- interface
- osquery:results ( 윈도우 시스템에서 sql쿼리를 통해 정보를 수집하는 쿼리구문 (도구) )
- perfmonmk:process
4. Bud가 실수로 S3 버킷에 공개적으로 액세스할 수 있도록 합니다. 공개 액세스를 활성화한 API 호출의 이벤트 ID는 무엇입니까? 답변 안내: 모든 특수 문자/구두점을 포함하십시오.
답변 형식: ************************************
eventname
하지만 찾고자 하는게 안 보임
bucket 지움
5. Bud의 사용자 이름은 무엇입니까?
답변 형식: ******
6. 공개적으로 액세스할 수 있게 된 S3 버킷의 이름은 무엇입니까?
답변 형식: **************
7. 공개적으로 액세스할 수 있는 동안 S3 버킷에 성공적으로 업로드된 텍스트 파일의 이름은 무엇입니까? 답변 안내: 전체 경로가 아닌 파일 이름과 확장자만 제공하세요. (예: /mylogs/web/filename.docx 대신 filename.docx)
답변 형식: **************************.***
https://docs.aws.amazon.com/ko_kr/AmazonS3/latest/API/API_PutObject.html
PutObject - Amazon Simple Storage Service
For directory buckets, when you use AWS SDKs, CRC32 is the default checksum algorithm that's used for performance.
docs.aws.amazon.com
8. Frothly 엔드포인트는 코인 채굴 활동의 징후를 보입니다. 이 끝점에서 이 활동에서 100% CPU 프로세서 사용 시간에 도달 하는 두 번째 프로세스 의 이름은 무엇입니까 ? 답변 안내: 모든 특수 문자/구두점을 포함하십시오.
답변 형식: ********
하지만 프로세스 이름이 나오지 않는다
이름 확인 가능
채굴 악성코드는 대부분 100쓴다
#4먼저 확인
index="botsv3" earliest=0 sourcetype="perfmonmk:process" instance="chrome#4"
index="botsv3" earliest=0 sourcetype="symantec:ep:security:file"
performance
9. 실제로 Monero 암호화폐를 채굴하는 유일한 Frothly 엔드포인트의 짧은 호스트 이름은 무엇입니까? (예: ahamilton.mycompany.com 대신 ahamilton)
답변 형식: ********
10. Splunk의 이벤트 주문 기능을 사용할 때 Frothly의 SEP(Symantec Endpoint Protection) 데이터에 따르면 코인 마이너 위협의 첫 번째 서명 ID는 무엇입니까?
답변 형식: *****
가장 빨리 찍힌 녀석 찾기 제일 뒷 페이지에
11. 공격의 이름은 무엇입니까?
답변 형식: *********** ******** *
12. 시만텍 웹사이트에 따르면 이 특정 코인 채굴기 위협의 심각성은 무엇입니까?
답변 형식: ******
안 나와서.. 다른 것으로 검색
수동으로 검색해보자
13. 암호화폐 위협을 물리쳤다는 증거를 보여주는 유일한 Frothly 엔드포인트의 짧은 호스트 이름은 무엇입니까? (예: ahamilton.mycompany.com 대신 ahamilton)
답변 형식: ******
호스트 진짜인지 검증
14. IAM 리소스에 액세스하려고 할 때 가장 뚜렷한 오류를 생성하는 IAM 사용자 액세스 키는 무엇입니까?
답변 형식: ********************
accesskey, error awscloud trail 여기서 accesskey를 찾아야함
다 눌러보자,,
errorcode , errormessage를 조합해서 찾아보자
index="botsv3" earliest=0 sourcetype="aws:cloudtrail" *error* accesskeyid | dedup errorCode| table errorCode,errorMessage,user_access_key
15. Bud가 실수로 AWS 액세스 키를 외부 코드 리포지토리에 커밋합니다. 얼마 후 그는 AWS로부터 계정이 손상되었다는 알림을 받습니다. Amazon이 그를 대신하여 여는 지원 사례 ID는 무엇입니까?
답변 형식: **********
SSM, 메일
16. AWS 액세스 키는 액세스 키 ID(예: AKIAIOSFODNN7EXAMPLE)와 보안 액세스 키(예: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)의 두 부분으로 구성됩니다. 외부 코드 저장소로 유출된 키의 비밀 접근 키는 무엇입니까?
답변 형식: ***/************************************
17. 유출된 키를 사용하여 공격자는 승인되지 않은 특정 리소스에 대한 키 생성을 시도합니다. 그 자원의 이름은 무엇입니까?
답변 형식: *************
18. 유출된 키를 사용하여 공격자는 계정을 설명하기 위해 무단으로 시도합니다. 요청을 시작한 애플리케이션의 전체 사용자 에이전트 문자열은 무엇입니까?
답변 형식: ***********/*.*.*