Web Scan - 17. ELSA 사용 방법

Web Scan - 17. ELSA 사용 방법

 

 

수업용으로 진행하기 때문에 오픈 소스를 사용합니다. 실제 환경에서는 오픈 소스도 사용하지만, 라이센스를 사용하는 고성능/고품질/멋진 GUI 기반의 분석도구를 사용하는 것을 권장합니다.

 

 

 - ELSA : Enterprise Log Search And Archive

 - Snort 탐지 로그를 이용하는 로그 분석 도구이다.

 - ELSA를 실행하기 이전에 'Sguil Snort' 스냅샷을 로딩하도록 한다.

 - 브라우저 접속시 HTTPS 예외를 실시해야 접근 가능하다.

 

 

1. ELSA 실행

 

ELSA 실행

 

 

 

ELSA(아이디/toor1234) 로그인 실시

 

 

 

ELSA 접속 및 로그 기록 확인

 

 

 

 

2. 로그 대시 보드 생성

 

 

ELSA -> 'Dashboards' 클릭

 

 

 

'Create/import new dashboard' 클릭

 

 

 

적당한 이름 입력 -> 'Submit' 버튼 클릭

 

 

 

대시 보드 생성 확인

 

 

 

 

3. 로그 대시 보드 등록

 

 

HTTP -> 'Top SRC IPs' 클릭

 

 

 

'Result Options' 클릭 -> 'Add to Dashborad' 클릭

 

 

 

Dashboard 및 Chart 선택 -> 'Submit' 버튼 클릭

 

 

 

ELSA -> 'Dashboards' 클릭

 

 

 

'Active' 버튼 클릭 -> 'View' 클릭

 

 

 

로그 대시 보드 확인

 

 

 

4. 로그 세부 사항 확인

 

 

'Add Term' 버튼 클릭 -> BRO_HTTP -> Class BRO_HTTP 클릭 

 

 

 

'Submit Query' 버튼 클릭

 

 

 

 

5. ELSA 시스템 대시 보드

 

 

Admin -> 'Stats' 클릭

 

 

 

ELSA 시스템 대시 보드 확인

 

 

 

[유튜브] 동영상 강의 링크 (구독! 좋아요!!!)

 

Web Scan - 17. ELSA 사용 방법   https://youtu.be/xY7At8SZbCo