Wail2ban 에 의한 윈도우 방화벽 설정
Last updated
Last updated
Wail2ban 을 이용해 RDP 무차별 대입공격에 대한 보안 설정을 했을 경우, Wail2ban 에 의해 윈도우 방화벽에 차단 등록되는 동작을 PLURA에서 탐지할 수 있습니다.
Wail2ban 이란?
https://developer.ibm.com/kr/cloud/softlayer-bluemix-infra/security/2017/08/31/rdp-security-script/
PLURA 웹에서 필터 등록으로 설정 방법
등록 경로 : 필터 > 등록 > 호스트 > 등록하기
진행 절차 : 그룹 선택 > 운영체제 windows 선택 > Security 채널 선택 > 이벤트타입 선택
이벤트 타입에서 방화벽 예외 목록 변경 규칙 추가(4946) 선택
위그림과 같이 선택 후 ‘데이터 값’에 wail2ban block 을 넣고 하단의 ‘등록’ 버튼 클릭
Wail2ban 에 의해 윈도우 방화벽에 차단 등록이 되면 아래와 같이 탐지됩니다.
로그 예시 : 필터탐지 > 호스트
