Docker 기반 Local SOC 구축 및 Ollama LLM 통합을 통한 실시간 위협 분석 자동화

Monté un mini-SOC en mi portátil con honeypot, Wazuh e IA local — proyecto del Máster en Evolve

Yoandy Ramirez Delgado2026년 5월 16일5분intermediate

AI 요약

Context

정적인 PCAP 파일 분석 위주의 기존 학습 환경에서 탈피하여 실제 인터넷 트래픽 기반의 동적 위협 탐지가 필요함. 클라우드 의존성을 제거하고 로컬 환경에서 데이터 유출 없이 보안 관제 파이프라인을 구현하고자 함.

Cowrie Honeypot을 통한 SSH 2222 포트 개방 및 OpenSSH 위장으로 실제 공격자 JSON 로그 수집
Wazuh Manager의 Custom Decoder 및 Rules 설정을 통한 Brute Force, Reverse Shell 등 MITRE ATT&CK 매핑 기반 탐지
OpenSearch Indexer를 활용한 대규모 로그 저장 및 React/FastAPI 기반 전용 분석 인터페이스 구축으로 분석가 워크플로우 최적화
Ollama(qwen2.5-coder:7b)를 Wazuh Integration 스크립트로 연결하여 Level 5 이상의 고위험 알람에 대한 요약 인사이트 자동 생성
Docker Compose를 통한 SOC 스택 컨테이너화 및 Windows 환경의 Python Event Loop 이슈 해결을 통한 백엔드 안정성 확보

실천 포인트

1. Local LLM 통합 시 API 비용 제거 및 데이터 프라이버시 확보 가능성 검토

2. SIEM 도구의 기본 대시보드 외에 분석가 전용 Custom UI 구축을 통한 운영 효율성 개선

3. Docker Desktop Windows 환경 배포 시 Async-IO 및 Event Loop 라이브러리의 호환성 사전 확인

4. Honeypot 데이터를 통한 실제 공격 패턴 수집 및 Custom Rule 고도화 프로세스 적용

태그