1부 - 사이버 위협 인텔리전스
01장. 사이버 위협 인텔리전스
__사이버 위협 인텔리전스
____전략 등급
____운영 등급
____전술 등급
__인텔리전스 주기
____계획 및 대상 선정
____준비 및 수집
____가공 및 활용
____분석 및 생산
____배포 및 통합
____평가 및 피드백
__인텔리전스 요구 사항 정의
__수집 과정
____침해 지표
____멀웨어의 이해
____공공 자원을 이용한 수집: OSINT
____허니팟
____멀웨어 분석과 샌드박스
__가공 및 활용
____Cyber Kill Chain®
__편향과 분석
__요약
02장. 위협 사냥
__기술적인 요구 사항
__위협 사냥에 대한 소개
____위협 사냥 유형
____위협 사냥꾼의 기술
____고통의 피라미드
__위협 사냥 성숙도 모델
____성숙도 모델의 결정
__위협 사냥 과정
____위협 사냥 고리
____위협 사냥 모델
____데이터 주도 방법론
____TaHiTI: 위협 인텔리전스를 결합한 표적 사냥
__가설 설정
__요약
03장. 데이터 출처
__기술적인 요구 사항
__수집한 데이터 이해
____운영체제 기본
____네트워크 기본
__윈도우 기본 도구
____윈도우 이벤트 뷰어
____윈도우 관리 도구(WMI
____윈도우용 이벤트 추적(ETW
__데이터 출처
____엔드포인트 데이터
____네트워크 데이터
____보안 데이터
__요약
2부 - 공격자 이해하기
04장. 공격자 묘사
__기술적인 요구 사항
__ATT&CK 프레임워크
____전술, 기술, 하위 기술, 절차
____ATT&CK 매트릭스
____ATT&CK 내비게이터
__ATT&CK로 나타내기
__자체 테스트
____정답
__요약
05장. 데이터 작업
__기술적인 요구 사항
__데이터 사전 활용
____오픈소스 보안 이벤트 메타데이터(OSSEM
__MITRE CAR 활
이 책에서 다루는 내용
* CTI의 이해, 핵심 개념, 위협 예방 및 조직의 보호 효과
* 위협 사냥 절차의 다양한 단계 탐색
* 수집한 데이터의 모델링 및 결과 기록 방법 이해
* 실험 환경에서 위협 행위자의 공격 모방
* 침입 탐지를 위해 수집한 정보의 활용 및 검색 결과 검증
* 문서화 및 전략을 사용해 고위 관리직 및 전체 비즈니스와 의사소통하는 방법
이 책의 대상 독자
위협 사냥 실습에 관심이 있는 모두를 위한 책으로, 시스템 관리자, 컴퓨터 공학자, 보안 전문가의 첫 번째 위협 사냥 실습을 돕는 가이드다.
이 책의 구성
1장, ‘사이버 위협 인텔리전스’에서는 다양한 위협 유형, 침해 지표 수집 방법, 수집한 정보 분석 방법을 다룬다.
2장, ‘위협 사냥’에서는 위협 사냥을 배우는 곳, 중요한 이유, 사냥 가설 설정 방법을 다룬다.
3장, ‘데이터 출처’에서는 위협 사냥에 대한 이해뿐만 아니라 사냥 프로그램의 기획 및 설계 시 사용할 수 있는 다양한 단계와 모델을 다룬다.
4장, ‘공격자 묘사’에서는 맥락(Context에 대해 다룬다. 수집한 정보를 이해하려면 적절한 맥락을 제공해야 한다. 맥락과 분석이 없는 정보는 인텔리전스가 아니다. MITRE ATT&CKTM 프레임워크를 이용해 인텔리전스 보고서를 연결하는 방법을 다룬다.
5장, ‘데이터 작업’에서는 데이터 사전 생성 절차를 검토하고 위협 사냥에서 데이터 사전이 중요한 이유와 엔드포인트의 데이터를 하나로 모으는 것이 중요한 이유를 검토한다.
6장, ‘공격자 모방’에서는 위협 행위자 모방 계획을 만들고자 CTI를 사용하는 방법과 이를 데이터 주도 접근 방식과 혼합해 사냥을 수행하는 방법을 다룬다.
7장, ‘연구 환경 조성’에서는 다양한 오픈소스 도구를 이용해 연구 환경을 조성하는 방법을 다룬다. 대부분 윈도우 실험 환경을 만들고 데이터 기록을 위한 ELK 인스턴스를 설정한다.
8장, ‘데이터 질의 방법’에서는 운영체제와 사냥 절차에 익숙
