- ÇöÀç À§Ä¡
- home > ÄÄÇ»ÅÍ¡¤ICT¡¤¾îÇÐ > ÄÄÇ»ÅÍ¡¤IT µµ¼ > º¸¾È/ÇØÅ· > µðÁöÅÐ Æ÷·»½Ä°ú »ç°í ´ëÀÀ(2ÆÇ)[¿¡ÀÌÄÜÃâÆÇ]
µðÁöÅÐ Æ÷·»½ÄÀ» »çÀ̹ö º¸¾È »ç°í¿¡ ´ëÇÑ Àü¹ÝÀûÀÎ ´ëÀÀ°ú ÅëÇÕÇÏ´Â ¹æ¹ýÀ» ÀÌÇØÇÏ´Â °ÍÀº °ø°ÝÀ¸·ÎºÎÅÍ Á¶Á÷ÀÇ ÀÎÇÁ¶ó¸¦ º¸È£ÇÏ´Â µ¥ Áß¿äÇÏ´Ù. °³Á¤ÆÇ¿¡¼´Â »çÀ̹ö »ç°í °ü¸®, ¸Þ¸ð¸® ¹× ·Î±× ºÐ¼®, À§Çù »ç³É µî ´Ù¾çÇÏ°í ½Ç¿ëÀûÀÎ ¿¹¸¦ Ãß°¡ÇÏ°í, º¸¾È ¹× »ç°í Á¶»ç¿¡ °ü·ÃµÈ Áß¿äÇÑ À̺¥Æ® À¯ÇüÀ» ºÎ·ÏÀ¸·Î Ãß°¡ÇØ ÃÖ÷´Ü µðÁöÅÐ Æ÷·»½Ä È°µ¿ ¹× »ç°í ´ëÀÀÀ» ¼öÇàÇÏ´Â µ¥ ÇÊ¿äÇÑ Á¤º¸¸¦ Á¦°øÇÑ´Ù. ´õºÒ¾î °¢ ÀåÀ» ¸¶Ä¥ ¶§¸¶´Ù ÇÙ½ÉÀûÀÎ »çÇ×ÀÇ ÀÌÇظ¦ µ½´Â ¹®Á¦¿Í ´õ Àо °Å¸®´Â ÀÌ Ã¥À» °ÀÇ¿ëÀ¸·Î È°¿ëÇÏ´Â µ¥¿¡µµ À¯¿ëÇÒ °ÍÀÌ´Ù.
»ç°í ´ëÀÀ°ú µðÁöÅÐ Æ÷·»½ÄÀÇ ±âÃʸ¦ ´ÙÁø ÈÄ, »ç°í ´ëÀÀ ÀýÂ÷, Æ÷·»½Ä ¿øÄ¢, »ç°í °ü¸®¿Í °°Àº ±âº» ¿ä¼Ò¸¦ »ìÆ캸´Â °ÍÀ¸·ÎºÎÅÍ ½ÃÀÛÇÑ´Ù. º¸¾È »ç°í¿¡ ´ëÇÑ Á߿伺À» ÀÌÇØÇÏ´Â °Í¿¡¼ºÎÅÍ º¸¾È »ç°í¿¡ ½Å¼ÓÇÏ°í È¿°úÀûÀ¸·Î ´ëÀÀÇÏ´Â µ¥ µµ¿òÀÌ µÇ´Â À¯¿ëÇÑ »ç·Ê¸¦ ÅëÇØ ¾È³»ÇÑ´Ù. ±× ´ÙÀ½, Áõ°Å ¼öÁý°ú Èֹ߼º ¸Þ¸ð¸® Á¶»çºÎÅÍ ÇÏµå µå¶óÀ̺ê Á¶»ç¿Í ³×Æ®¿öÅ© ±â¹Ý Áõ°Å¿¡ À̸£±â±îÁö µðÁöÅÐ Æ÷·»½Ä ±â¼úÀ» ÀÍÈ÷°Ô µÈ´Ù. À̸¦ ÅëÇØ À§Çù ÀÎÅÚ¸®Àü½º°¡ »ç°í ´ëÀÀ ÀýÂ÷¿¡¼ ¾î¶² ¿ªÇÒÀ» ÇÏ´ÂÁö ¾Ë°Ô µÉ °ÍÀÌ´Ù. ¶ÇÇÑ ºÐ¼® °á°ú¸¦ ¹®¼ÈÇÏ´Â »ç°í ´ëÀÀ º¸°í¼¸¦ ÀÛ¼º ¹æ¹ýµµ ¹è¿ì°Ô µÈ´Ù. ¸¶Áö¸·À¸·Î, ´Ù¾çÇÑ »ç°í ´ëÀÀ È°µ¿ ¿Ü¿¡µµ ¾Ç¼ºÄÚµå ºÐ¼®À» ´Ù·ç°í À§Çù »ç³É¿¡¼ µðÁöÅÐ Æ÷·»½Ä ±â¼úÀ» ´Éµ¿ÀûÀ¸·Î »ç¿ëÇÒ ¼ö ÀÖ´Â ¹æ¹ýÀ» º¸¿©ÁØ´Ù. ÀÌ Ã¥À» ´Ù ÀÐ°í ³ª¸é Á¶Á÷¿¡¼ ¿øÄ¡ ¾Ê´Â º¸¾È ħÇØ ¹× »ç°í¸¦ È¿°úÀûÀ¸·Î Á¶»çÇÏ°í º¸°íÇÏ´Â ¹æ¹ýÀ» ¾Ë°Ô µÉ °ÍÀÌ´Ù.
»ç°í ´ëÀÀ°ú µðÁöÅÐ Æ÷·»½ÄÀÇ ±âÃʸ¦ ´ÙÁø ÈÄ, »ç°í ´ëÀÀ ÀýÂ÷, Æ÷·»½Ä ¿øÄ¢, »ç°í °ü¸®¿Í °°Àº ±âº» ¿ä¼Ò¸¦ »ìÆ캸´Â °ÍÀ¸·ÎºÎÅÍ ½ÃÀÛÇÑ´Ù. º¸¾È »ç°í¿¡ ´ëÇÑ Á߿伺À» ÀÌÇØÇÏ´Â °Í¿¡¼ºÎÅÍ º¸¾È »ç°í¿¡ ½Å¼ÓÇÏ°í È¿°úÀûÀ¸·Î ´ëÀÀÇÏ´Â µ¥ µµ¿òÀÌ µÇ´Â À¯¿ëÇÑ »ç·Ê¸¦ ÅëÇØ ¾È³»ÇÑ´Ù. ±× ´ÙÀ½, Áõ°Å ¼öÁý°ú Èֹ߼º ¸Þ¸ð¸® Á¶»çºÎÅÍ ÇÏµå µå¶óÀ̺ê Á¶»ç¿Í ³×Æ®¿öÅ© ±â¹Ý Áõ°Å¿¡ À̸£±â±îÁö µðÁöÅÐ Æ÷·»½Ä ±â¼úÀ» ÀÍÈ÷°Ô µÈ´Ù. À̸¦ ÅëÇØ À§Çù ÀÎÅÚ¸®Àü½º°¡ »ç°í ´ëÀÀ ÀýÂ÷¿¡¼ ¾î¶² ¿ªÇÒÀ» ÇÏ´ÂÁö ¾Ë°Ô µÉ °ÍÀÌ´Ù. ¶ÇÇÑ ºÐ¼® °á°ú¸¦ ¹®¼ÈÇÏ´Â »ç°í ´ëÀÀ º¸°í¼¸¦ ÀÛ¼º ¹æ¹ýµµ ¹è¿ì°Ô µÈ´Ù. ¸¶Áö¸·À¸·Î, ´Ù¾çÇÑ »ç°í ´ëÀÀ È°µ¿ ¿Ü¿¡µµ ¾Ç¼ºÄÚµå ºÐ¼®À» ´Ù·ç°í À§Çù »ç³É¿¡¼ µðÁöÅÐ Æ÷·»½Ä ±â¼úÀ» ´Éµ¿ÀûÀ¸·Î »ç¿ëÇÒ ¼ö ÀÖ´Â ¹æ¹ýÀ» º¸¿©ÁØ´Ù. ÀÌ Ã¥À» ´Ù ÀÐ°í ³ª¸é Á¶Á÷¿¡¼ ¿øÄ¡ ¾Ê´Â º¸¾È ħÇØ ¹× »ç°í¸¦ È¿°úÀûÀ¸·Î Á¶»çÇÏ°í º¸°íÇÏ´Â ¹æ¹ýÀ» ¾Ë°Ô µÉ °ÍÀÌ´Ù.
ÀúÀÚ: Á¦¶óµå ¿äÇѼ¾
1ºÎ. »ç°í ´ëÀÀ°ú µðÁöÅÐ Æ÷·»½Ä ±âÃÊ
1Àå. »ç°í ´ëÀÀÀÇ ÀÌÇØ
__»ç°í ´ëÀÀ ÀýÂ÷
____µðÁöÅÐ Æ÷·»½ÄÀÇ ¿ªÇÒ
__»ç°í ´ëÀÀ ÇÁ·¹ÀÓ¿öÅ©
____»ç°í ´ëÀÀ ÇåÀå
____ÄÄÇ»ÅÍ º¸¾È »ç°í ´ëÀÀÆÀ
______CSIRT ÇÙ½ÉÆÀ
______±â¼ú Áö¿ø ÀηÂ
______Á¶Á÷ Áö¿ø ÀηÂ
______¿ÜºÎ ¸®¼Ò½º
__»ç°í ´ëÀÀ °èȹ
____»ç°í ºÐ·ù
__»ç°í ´ëÀÀ Ç÷¹À̺Ï
____´Ü°èÀû È®´ë ÀýÂ÷
__»ç°í ´ëÀÀ ÇÁ·¹ÀÓ¿öÅ© Å×½ºÆ®
__¿ä¾à
__¹®Á¦
__´õ Àо °Å¸®
2Àå. »çÀ̹ö »ç°í °ü¸®
__»ç°í ´ëÀÀÆÀ Âü¿©½ÃÅ°±â
____CSIRT ¸ðµ¨
______SOC ¿¡½ºÄ÷¹À̼Ç
______SOC¿Í CSIRTÀÇ ¿¬ÇÕ
______CSIRT À¶ÇÕ ¼¾ÅÍ
____¿ö·ë
____ÀÇ»ç¼ÒÅë
____Á÷¿ø ±³´ë
__À§±â Ä¿¹Â´ÏÄÉÀÌ¼Ç ÅëÇÕ
____³»ºÎ Ä¿¹Â´ÏÄÉÀ̼Ç
____¿ÜºÎ Ä¿¹Â´ÏÄÉÀ̼Ç
____°ø½Ã
__»ç°í Á¶»ç
__ºÀ¼â Àü·« ÅëÇÕ
__Á¤»óÀ¸·Î º¹±Í - ±ÙÀý ¹× º¹±¸
____±ÙÀý Àü·«
____º¹±¸ Àü·«
__¿ä¾à
__Áú¹®
__´õ ÀÐ¾î º¼ °Å¸®
3Àå. µðÁöÅÐ Æ÷·»½Ä ±âº» ¿ø¸®
__¹ýÀû Ãø¸é
____¹ý·ü ¹× ±ÔÁ¤
______Áõ°Å ±ÔÄ¢
__µðÁöÅÐ Æ÷·»½Ä ±âº» ¿ø¸®
____¿¬Çõ
____µðÁöÅÐ Æ÷·»½Ä ÀýÂ÷
______½Äº°
______º¸Á¸
______¼öÁý
________ÀûÀýÇÑ Áõ°ÅÀÇ Ãë±Þ
________°ü¸® ¿¬¼Ó¼º
______Á¶»ç
______ºÐ¼®
______Á¦Ãâ
____µðÁöÅÐ Æ÷·»½Ä ¿¬±¸½Ç
______¹°¸®Àû º¸¾È
______µµ±¸
________Çϵå¿þ¾î
________¼ÒÇÁÆ®¿þ¾î
________¸®´ª½º Æ÷·»½Ä µµ±¸
________Á¡ÇÁ Å°Æ®
__¿ä¾à
__Áú¹®
__´õ ÀÐ¾î º¼ °Å¸®
2ºÎ. Áõ°Å ¼öÁý
4Àå. ³×Æ®¿öÅ© Áõ°Å ¼öÁý
__³×Æ®¿öÅ© Áõ°Å °³°ü
____Áغñ
____³×Æ®¿öÅ© ´ÙÀ̾î±×·¥
____±¸¼º
__¹æȺ®°ú ÇÁ·Ï½Ã ·Î±×
____¹æȺ®
____À¥ ÇÁ·Ï½Ã ¼¹ö
__NetFlow
__ÆÐŶ ĸó
____tcpdump
____WinPcap ¹× RawCap
__Wireshark
__Áõ°Å ¼öÁý
__¿ä¾à
__Áú¹®
__´õ ÀÐ¾î º¼ °Å¸®
5Àå. È£½ºÆ® ±â¹Ý Áõ°Å È®º¸
__Áغñ
__Èֹ߼º ¼øÀ§
__Áõ°Å È®º¸
____Áõ°Å ¼öÁý ÀýÂ÷
__Èֹ߼º ¸Þ¸ð¸® È®º¸
____·ÎÄà Ȯº¸
______FTK Imager
______WinPmem
______RAM Capturer
____¿ø°Ý ȹµæ
______WinPmem
______°¡»ó¸Ó½Å
__ºñÈֹ߼º Áõ°Å È®º¸
____CyLR.exe
____¾ÏÈ£È È®ÀÎ
__¿ä¾à
__Áú¹®
__´õ ÀÐ¾î º¼ °Å¸®
6Àå. Æ÷·»½Ä À̹Ì¡ ÀÌÇØ
__Æ÷·»½Ä À̹Ì¡ ÀÌÇØ
__À̹Ì¡ µµ±¸
__½ºÅ×ÀÌÁö µå¶óÀ̺ê ÁغñÇϱâ
__Digital
__¾²±â ¹æÁö ÀåÄ¡ÀÇ »ç¿ë
__À̹Ì¡ ±â¹ý
____µ¥µå À̹Ì¡
______FTK Imager·Î À̹Ì¡Çϱâ
____¶óÀ̺ê À̹Ì¡
____¿ø°Ý ¸Þ¸ð¸® ȹµæ
______WinPmem
______F-Response
____°¡»ó¸Ó½Å
______¸®´ª½º À̹Ì¡
__¿ä¾à
__Áú¹®
__´õ ÀÐ¾î º¼ °Å¸®
3ºÎ. Áõ°Å ºÐ¼®
7Àå. ³×Æ®¿öÅ© Áõ°Å ºÐ¼®
__³×Æ®¿öÅ© Áõ°ÅÀÇ °³¿ä
__¹æȺ® ¹× ÇÁ·Ï½Ã ·Î±× ºÐ¼®
____DNS ºí·¢¸®½ºÆ®
____SIEM µµ±¸µé
____Elastic Stack
__NetFlow ºÐ¼®
__ÆÐŶ ĸó ºÐ¼®
____¸í·ÉÇà µµ±¸
____Moloch
____Wireshark
__¿ä¾à
__Áú¹®
__´õ ÀÐ¾î º¼ °Å¸®
8Àå. ½Ã½ºÅÛ ¸Þ¸ð¸® ºÐ¼®
__¸Þ¸ð¸® ºÐ¼® °³¿ä
__¸Þ¸ð¸® ºÐ¼® ¹æ¹ý·Ð
____SANS 6 ´Ü°è ¹æ¹ý·Ð
____³×Æ®¿öÅ© ¿¬°á ¹æ¹ý·Ð
____¸Þ¸ð¸® ºÐ¼® µµ±¸
__Redline ¸Þ¸ð¸® ºÐ¼®
____Redline ºÐ¼® ÇÁ·Î¼¼½º
____Redline ÇÁ·Î¼¼½º ºÐ¼®
__Volatility ¸Þ¸ð¸® ºÐ¼®
____Volatility ¼³Ä¡
____Volatility ´Ù·ç±â
____Volatility À̹ÌÁö Á¤º¸
____Volatility ÇÁ·Î¼¼½º ºÐ¼®
______ÇÁ·Î¼¼½º ¸ñ·Ï
______ÇÁ·Î¼¼½º °Ë»ç
______ÇÁ·Î¼¼½º Æ®¸®
______DLL ¸®½ºÆ®
______handles Ç÷¯±×ÀÎ
______LDR ¸ðµâ
______ÇÁ·Î¼¼½º xview
____Volatility ³×Æ®¿öÅ© ºÐ¼®
______connscan
____Volatility Áõ°Å ÃßÃâ
______¸Þ¸ð¸® ´ýÇÁ
______DLL ÆÄÀÏ ´ýÇÁ
______½ÇÇà ÆÄÀÏ ´ýÇÁ
__Strings ¸Þ¸ð¸® ºÐ¼®
____Strings ¼³Ä¡
____IP ÁÖ¼Ò °Ë»ö
____HTTP °Ë»ö
__¿ä¾à
__Áú¹®
__´õ ÀÐ¾î º¼ °Å¸®
9Àå. ½Ã½ºÅÛ ½ºÅ丮Áö ºÐ¼®
__Æ÷·»½Ä Ç÷§Æû
__Autopsy
____Autopsy ¼³Ä¡
____Case ¿±â
____Autopsy Ž»ö
____Case Á¶»ç
______À¥ ¾ÆƼÆÑÆ®
______À̸ÞÀÏ
______¿¬°á ÀåÄ¡
______»èÁ¦ ÆÄÀÏ
______Å°¿öµå °Ë»ö
______ŸÀÓ¶óÀÎ ºÐ¼®
__MFT ºÐ¼®
__·¹Áö½ºÆ®¸® ºÐ¼®
__¿ä¾à
__Áú¹®
__´õ ÀÐ¾î º¼ °Å¸®
10Àå. ·Î±× ÆÄÀÏ ºÐ¼®
__·Î±× ¹× ·Î±× °ü¸®
__À̺¥Æ® °ü¸® ½Ã½ºÅÛÀÇ ÀÛ¾÷
____Security Onion
____Elastic Stack
__À©µµ¿ì ·Î±×ÀÇ ÀÌÇØ
__À©µµ¿ì À̺¥Æ® ·Î±× ºÐ¼®
____ȹµæ
____¼±º°
____ºÐ¼®
______Event Log Explorer
______Skadi ·Î±× ºÐ¼®
__¿ä¾à
__Áú¹®
__´õ ÀÐ¾î º¼ °Å¸®
11Àå. »ç°í º¸°í¼ ÀÛ¼º
__¹®¼ ÀÛ¼º °³¿ä
____¹®¼ ÀÛ¼º ´ë»ó
____¹®¼ ÀÛ¼º À¯Çü
____Ãâó
____µ¶ÀÚ
__»ç°í ÃßÀû
____½Å¼Ó »ç°í ´ëÀÀ
__¼¸é º¸°í
____ÇÙ½É ¿ä¾à
____»ç°í º¸°í¼
____Æ÷·»½Ä º¸°í¼
__¿ä¾à
__Áú¹®
__´õ ÀÐ¾î º¼ °Å¸®
4ºÎ. Àü¹® ÁÖÁ¦
12Àå. »ç°í ´ëÀÀÀ» À§ÇÑ ¾Ç¼º ÄÚµå ºÐ¼®
__¾Ç¼º ÄÚµå ºÐ·ù
__¾Ç¼º ÄÚµå ºÐ¼® °³¿ä
____Á¤Àû ºÐ¼®
____µ¿Àû ºÐ¼®
__¾Ç¼º ÄÚµå ºÐ¼®
____Á¤Àû ºÐ¼®
______ClamAV
______Pestudio
______REMnux
______YARA
__µ¿Àû ºÐ¼®
____¾Ç¼º ÄÚµå »÷µå¹Ú½º
____Process Explorer
______Process Spawn Control
____Cuckoo Sandbox
__¿ä¾à
__Áú¹®
__´õ ÀÐ¾î º¼ °Å¸®
13Àå. À§Çù ÀÎÅÚ¸®Àü½º È°¿ë
__À§Çù ÀÎÅÚ¸®Àü½º ÀÌÇØ
____À§Çù ÀÎÅÚ¸®Àü½º À¯Çü
____°íÅëÀÇ ÇǶó¹Ìµå
__À§Çù ÀÎÅÚ¸®Àü½º ¹æ¹ý·Ð
____À§Çù ÀÎÅÚ¸®Àü½º ÁöÈÖ
______ų üÀÎ
______´ÙÀ̾Ƹóµå ¸ðµ¨
__À§Çù ÀÎÅÚ¸®Àü½º ¼Ò½º
____³»ºÎ °³¹ß ¼Ò½º
____»ó¾÷Àû ¼Ò½º
____¿ÀǼҽº
__À§Çù ÀÎÅÚ¸®Àü½º Ç÷§Æû
____MISP À§Çù °øÀ¯
__À§Çù ÀÎÅÚ¸®Àü½ºÀÇ »ç¿ë
____¿¹¹æÀû À§Çù ÀÎÅÚ¸®Àü½º
____»çÈÄÀû À§Çù ÀÎÅÚ¸®Àü½º
______Autopsy
______Redline¿¡ IOCs Ãß°¡
______Yara¿Í Loki
__¿ä¾à
__Áú¹®
__´õ ÀÐ¾î º¼ °Å¸®
14Àå. À§Çù »ç³É
__À§Çù »ç³É ¼º¼÷µµ ¸ðµ¨
__À§Çù »ç³É ÁÖ±â
____À̺¥Æ® Âø¼ö
____ÀÛ¾÷ °¡¼³ »ý¼º
____À§Çù ÀÎÅÚ¸®Àü½º È°¿ë
____Æ÷·»½Ä ±â¹ý Àû¿ë
____»õ·Î¿î ÁöÇ¥ ½Äº°
____±âÁ¸ °¡¼³ °È
__MITRE ATT
1Àå. »ç°í ´ëÀÀÀÇ ÀÌÇØ
__»ç°í ´ëÀÀ ÀýÂ÷
____µðÁöÅÐ Æ÷·»½ÄÀÇ ¿ªÇÒ
__»ç°í ´ëÀÀ ÇÁ·¹ÀÓ¿öÅ©
____»ç°í ´ëÀÀ ÇåÀå
____ÄÄÇ»ÅÍ º¸¾È »ç°í ´ëÀÀÆÀ
______CSIRT ÇÙ½ÉÆÀ
______±â¼ú Áö¿ø ÀηÂ
______Á¶Á÷ Áö¿ø ÀηÂ
______¿ÜºÎ ¸®¼Ò½º
__»ç°í ´ëÀÀ °èȹ
____»ç°í ºÐ·ù
__»ç°í ´ëÀÀ Ç÷¹À̺Ï
____´Ü°èÀû È®´ë ÀýÂ÷
__»ç°í ´ëÀÀ ÇÁ·¹ÀÓ¿öÅ© Å×½ºÆ®
__¿ä¾à
__¹®Á¦
__´õ Àо °Å¸®
2Àå. »çÀ̹ö »ç°í °ü¸®
__»ç°í ´ëÀÀÆÀ Âü¿©½ÃÅ°±â
____CSIRT ¸ðµ¨
______SOC ¿¡½ºÄ÷¹À̼Ç
______SOC¿Í CSIRTÀÇ ¿¬ÇÕ
______CSIRT À¶ÇÕ ¼¾ÅÍ
____¿ö·ë
____ÀÇ»ç¼ÒÅë
____Á÷¿ø ±³´ë
__À§±â Ä¿¹Â´ÏÄÉÀÌ¼Ç ÅëÇÕ
____³»ºÎ Ä¿¹Â´ÏÄÉÀ̼Ç
____¿ÜºÎ Ä¿¹Â´ÏÄÉÀ̼Ç
____°ø½Ã
__»ç°í Á¶»ç
__ºÀ¼â Àü·« ÅëÇÕ
__Á¤»óÀ¸·Î º¹±Í - ±ÙÀý ¹× º¹±¸
____±ÙÀý Àü·«
____º¹±¸ Àü·«
__¿ä¾à
__Áú¹®
__´õ ÀÐ¾î º¼ °Å¸®
3Àå. µðÁöÅÐ Æ÷·»½Ä ±âº» ¿ø¸®
__¹ýÀû Ãø¸é
____¹ý·ü ¹× ±ÔÁ¤
______Áõ°Å ±ÔÄ¢
__µðÁöÅÐ Æ÷·»½Ä ±âº» ¿ø¸®
____¿¬Çõ
____µðÁöÅÐ Æ÷·»½Ä ÀýÂ÷
______½Äº°
______º¸Á¸
______¼öÁý
________ÀûÀýÇÑ Áõ°ÅÀÇ Ãë±Þ
________°ü¸® ¿¬¼Ó¼º
______Á¶»ç
______ºÐ¼®
______Á¦Ãâ
____µðÁöÅÐ Æ÷·»½Ä ¿¬±¸½Ç
______¹°¸®Àû º¸¾È
______µµ±¸
________Çϵå¿þ¾î
________¼ÒÇÁÆ®¿þ¾î
________¸®´ª½º Æ÷·»½Ä µµ±¸
________Á¡ÇÁ Å°Æ®
__¿ä¾à
__Áú¹®
__´õ ÀÐ¾î º¼ °Å¸®
2ºÎ. Áõ°Å ¼öÁý
4Àå. ³×Æ®¿öÅ© Áõ°Å ¼öÁý
__³×Æ®¿öÅ© Áõ°Å °³°ü
____Áغñ
____³×Æ®¿öÅ© ´ÙÀ̾î±×·¥
____±¸¼º
__¹æȺ®°ú ÇÁ·Ï½Ã ·Î±×
____¹æȺ®
____À¥ ÇÁ·Ï½Ã ¼¹ö
__NetFlow
__ÆÐŶ ĸó
____tcpdump
____WinPcap ¹× RawCap
__Wireshark
__Áõ°Å ¼öÁý
__¿ä¾à
__Áú¹®
__´õ ÀÐ¾î º¼ °Å¸®
5Àå. È£½ºÆ® ±â¹Ý Áõ°Å È®º¸
__Áغñ
__Èֹ߼º ¼øÀ§
__Áõ°Å È®º¸
____Áõ°Å ¼öÁý ÀýÂ÷
__Èֹ߼º ¸Þ¸ð¸® È®º¸
____·ÎÄà Ȯº¸
______FTK Imager
______WinPmem
______RAM Capturer
____¿ø°Ý ȹµæ
______WinPmem
______°¡»ó¸Ó½Å
__ºñÈֹ߼º Áõ°Å È®º¸
____CyLR.exe
____¾ÏÈ£È È®ÀÎ
__¿ä¾à
__Áú¹®
__´õ ÀÐ¾î º¼ °Å¸®
6Àå. Æ÷·»½Ä À̹Ì¡ ÀÌÇØ
__Æ÷·»½Ä À̹Ì¡ ÀÌÇØ
__À̹Ì¡ µµ±¸
__½ºÅ×ÀÌÁö µå¶óÀ̺ê ÁغñÇϱâ
__Digital
__¾²±â ¹æÁö ÀåÄ¡ÀÇ »ç¿ë
__À̹Ì¡ ±â¹ý
____µ¥µå À̹Ì¡
______FTK Imager·Î À̹Ì¡Çϱâ
____¶óÀ̺ê À̹Ì¡
____¿ø°Ý ¸Þ¸ð¸® ȹµæ
______WinPmem
______F-Response
____°¡»ó¸Ó½Å
______¸®´ª½º À̹Ì¡
__¿ä¾à
__Áú¹®
__´õ ÀÐ¾î º¼ °Å¸®
3ºÎ. Áõ°Å ºÐ¼®
7Àå. ³×Æ®¿öÅ© Áõ°Å ºÐ¼®
__³×Æ®¿öÅ© Áõ°ÅÀÇ °³¿ä
__¹æȺ® ¹× ÇÁ·Ï½Ã ·Î±× ºÐ¼®
____DNS ºí·¢¸®½ºÆ®
____SIEM µµ±¸µé
____Elastic Stack
__NetFlow ºÐ¼®
__ÆÐŶ ĸó ºÐ¼®
____¸í·ÉÇà µµ±¸
____Moloch
____Wireshark
__¿ä¾à
__Áú¹®
__´õ ÀÐ¾î º¼ °Å¸®
8Àå. ½Ã½ºÅÛ ¸Þ¸ð¸® ºÐ¼®
__¸Þ¸ð¸® ºÐ¼® °³¿ä
__¸Þ¸ð¸® ºÐ¼® ¹æ¹ý·Ð
____SANS 6 ´Ü°è ¹æ¹ý·Ð
____³×Æ®¿öÅ© ¿¬°á ¹æ¹ý·Ð
____¸Þ¸ð¸® ºÐ¼® µµ±¸
__Redline ¸Þ¸ð¸® ºÐ¼®
____Redline ºÐ¼® ÇÁ·Î¼¼½º
____Redline ÇÁ·Î¼¼½º ºÐ¼®
__Volatility ¸Þ¸ð¸® ºÐ¼®
____Volatility ¼³Ä¡
____Volatility ´Ù·ç±â
____Volatility À̹ÌÁö Á¤º¸
____Volatility ÇÁ·Î¼¼½º ºÐ¼®
______ÇÁ·Î¼¼½º ¸ñ·Ï
______ÇÁ·Î¼¼½º °Ë»ç
______ÇÁ·Î¼¼½º Æ®¸®
______DLL ¸®½ºÆ®
______handles Ç÷¯±×ÀÎ
______LDR ¸ðµâ
______ÇÁ·Î¼¼½º xview
____Volatility ³×Æ®¿öÅ© ºÐ¼®
______connscan
____Volatility Áõ°Å ÃßÃâ
______¸Þ¸ð¸® ´ýÇÁ
______DLL ÆÄÀÏ ´ýÇÁ
______½ÇÇà ÆÄÀÏ ´ýÇÁ
__Strings ¸Þ¸ð¸® ºÐ¼®
____Strings ¼³Ä¡
____IP ÁÖ¼Ò °Ë»ö
____HTTP °Ë»ö
__¿ä¾à
__Áú¹®
__´õ ÀÐ¾î º¼ °Å¸®
9Àå. ½Ã½ºÅÛ ½ºÅ丮Áö ºÐ¼®
__Æ÷·»½Ä Ç÷§Æû
__Autopsy
____Autopsy ¼³Ä¡
____Case ¿±â
____Autopsy Ž»ö
____Case Á¶»ç
______À¥ ¾ÆƼÆÑÆ®
______À̸ÞÀÏ
______¿¬°á ÀåÄ¡
______»èÁ¦ ÆÄÀÏ
______Å°¿öµå °Ë»ö
______ŸÀÓ¶óÀÎ ºÐ¼®
__MFT ºÐ¼®
__·¹Áö½ºÆ®¸® ºÐ¼®
__¿ä¾à
__Áú¹®
__´õ ÀÐ¾î º¼ °Å¸®
10Àå. ·Î±× ÆÄÀÏ ºÐ¼®
__·Î±× ¹× ·Î±× °ü¸®
__À̺¥Æ® °ü¸® ½Ã½ºÅÛÀÇ ÀÛ¾÷
____Security Onion
____Elastic Stack
__À©µµ¿ì ·Î±×ÀÇ ÀÌÇØ
__À©µµ¿ì À̺¥Æ® ·Î±× ºÐ¼®
____ȹµæ
____¼±º°
____ºÐ¼®
______Event Log Explorer
______Skadi ·Î±× ºÐ¼®
__¿ä¾à
__Áú¹®
__´õ ÀÐ¾î º¼ °Å¸®
11Àå. »ç°í º¸°í¼ ÀÛ¼º
__¹®¼ ÀÛ¼º °³¿ä
____¹®¼ ÀÛ¼º ´ë»ó
____¹®¼ ÀÛ¼º À¯Çü
____Ãâó
____µ¶ÀÚ
__»ç°í ÃßÀû
____½Å¼Ó »ç°í ´ëÀÀ
__¼¸é º¸°í
____ÇÙ½É ¿ä¾à
____»ç°í º¸°í¼
____Æ÷·»½Ä º¸°í¼
__¿ä¾à
__Áú¹®
__´õ ÀÐ¾î º¼ °Å¸®
4ºÎ. Àü¹® ÁÖÁ¦
12Àå. »ç°í ´ëÀÀÀ» À§ÇÑ ¾Ç¼º ÄÚµå ºÐ¼®
__¾Ç¼º ÄÚµå ºÐ·ù
__¾Ç¼º ÄÚµå ºÐ¼® °³¿ä
____Á¤Àû ºÐ¼®
____µ¿Àû ºÐ¼®
__¾Ç¼º ÄÚµå ºÐ¼®
____Á¤Àû ºÐ¼®
______ClamAV
______Pestudio
______REMnux
______YARA
__µ¿Àû ºÐ¼®
____¾Ç¼º ÄÚµå »÷µå¹Ú½º
____Process Explorer
______Process Spawn Control
____Cuckoo Sandbox
__¿ä¾à
__Áú¹®
__´õ ÀÐ¾î º¼ °Å¸®
13Àå. À§Çù ÀÎÅÚ¸®Àü½º È°¿ë
__À§Çù ÀÎÅÚ¸®Àü½º ÀÌÇØ
____À§Çù ÀÎÅÚ¸®Àü½º À¯Çü
____°íÅëÀÇ ÇǶó¹Ìµå
__À§Çù ÀÎÅÚ¸®Àü½º ¹æ¹ý·Ð
____À§Çù ÀÎÅÚ¸®Àü½º ÁöÈÖ
______ų üÀÎ
______´ÙÀ̾Ƹóµå ¸ðµ¨
__À§Çù ÀÎÅÚ¸®Àü½º ¼Ò½º
____³»ºÎ °³¹ß ¼Ò½º
____»ó¾÷Àû ¼Ò½º
____¿ÀǼҽº
__À§Çù ÀÎÅÚ¸®Àü½º Ç÷§Æû
____MISP À§Çù °øÀ¯
__À§Çù ÀÎÅÚ¸®Àü½ºÀÇ »ç¿ë
____¿¹¹æÀû À§Çù ÀÎÅÚ¸®Àü½º
____»çÈÄÀû À§Çù ÀÎÅÚ¸®Àü½º
______Autopsy
______Redline¿¡ IOCs Ãß°¡
______Yara¿Í Loki
__¿ä¾à
__Áú¹®
__´õ ÀÐ¾î º¼ °Å¸®
14Àå. À§Çù »ç³É
__À§Çù »ç³É ¼º¼÷µµ ¸ðµ¨
__À§Çù »ç³É ÁÖ±â
____À̺¥Æ® Âø¼ö
____ÀÛ¾÷ °¡¼³ »ý¼º
____À§Çù ÀÎÅÚ¸®Àü½º È°¿ë
____Æ÷·»½Ä ±â¹ý Àû¿ë
____»õ·Î¿î ÁöÇ¥ ½Äº°
____±âÁ¸ °¡¼³ °È
__MITRE ATT