목록교육 (16)
김승현
What is a False Positive?Alert는 즉각적인 action을 호출하기 위해 설계된 것임but, 완벽하진 않음 → 분석가가 경고해야 하는 event를 놓칠 수 있기 때문 Alert는 일반적으로 아래의 네가지 분류로 나눌 수 있음True positiverule condition에 의해 생성되는 alert혹은 합법적인 위협이나 공격을 뜻함False positiverule condition에 의해 생성되는 alert ( but, 위협이나 공격이 발생하진 x ) 가짜 알람이며 시간과 자원을 낭비하게 하는 alertTrue negative위협이나 공격이 발생하지 않았을 때의 알림이 없는 것이를 위해 팀들은 경고하기 위한 알림이 필요하지 않음False negative그룹에게 사각지대를 만드는 것경..
ICMP란?- OSI 3계층의 Network- TCP/UDP와 관련 X Ping이란- 네트워크 유틸리티- 연결과 속도를 알려주는 것- 유저간 상호작용을 연결-- ping sweep ICMP Exploit- DDOS- Ping of Death
SIEM이란?- 데이터를 수집하고 분석하는 데 사용되는 시스템- 서로 다른 데이터 소스 간의 상관관계를 통해 새로운 insight를 얻을 수 있음- 실시간 경고 및 모니터링- 종종 보안팀의 주요 포인트가 됨 core components1. 어플리케이션들2. 네트워크와 보안기기들3. 인프라구조 4. 사용자들 Introduction to Splunk Enterprise Security SPLUNK란?데이터 통계, 인덱싱, 분석, 실시간 리포트를 지원하는 소프트웨어다양한 데이터셋을 모을 수 있음 SPLUNK Enterprise Security- 데이터 포커스는 사이버 보안 소스와 관련이 있음- 경고, 위협관리, 사고에 대한 지원- 악의적 이벤트를 식별하기 위해 머신러닝 사용 Splunk Architectur..
해싱- 시그니처를 만들기 위해 사용 (특징을 정한다는 느낌 한 바이트로도 바뀌니까) 문자열- 중요한 정보를 포함함 Hashing, Signatures and HashMyFiles Tool 해시들은 1-way 암호화 알고리즘이다.ex) MD5, SHA1~3- 바이너리 내용들에 근거한 시그니처를 생성함- 약간의 변화라도 새로운 해시를 만듦 HashMyFiles 프로그램파일을 MD5, SHA1~3으로 암호화할 때 사용하는 유티리티단일 파일로 동작하거나 하나의 디렉터리로서 작동됨
멀웨어분석이란?- 멀웨어의 주요 특징이나 행동을 공부하는 과정- 이 과정은 다양한 기술과 도구들을 요구함 분석방법기본 정적 분석도구 실행 없이 분석기본 동적 분석실행을 통한 멀웨어 분석advanced 정적 분석IDA와 같은 디셈블러 사용하여 정적 분석advanced 동적 분석디버거를 활용한 실행 동작 분석