고급 Windows Enterprise 사고 대응

강사 주도형 교육 과정

Mandiant Academy에 문의하기Mandiant Academy 강좌 보기

요약 정보

이 5일 과정은 이슈 대응자가 정부, 금융, 정치적 위협 그룹의 침입을 식별하고 평가할 수 있게 도와주는 고급 조사 기술을 제공합니다. 이 과정에는 학습한 내용의 기초를 탐구하고 실제 세계의 시나리오에 기술을 직접 적용하여 지식 범위를 확대할 수 있게 해주는 일련의 실무 연습이 포함되어 있습니다. 

학생은 고급 기법을 식별, 감지, 추적하고 멀웨어 난독화를 무력화하고, 전통적인 엔드포인트와 클라우드 기반 인프라 모두에서 추적 기법을 대규모로 적용하는 방법을 배울 수 있습니다. 이 과정에는 이슈 발생 시 조직의 잠재적 손실을 완화하기 위해 방어자가 사용할 수 있는 기법과 과거 및 현재의 공격자 시나리오가 포함되어 있습니다.

기본 요건: 학생들이 컴퓨터 및 운영체제 기초에 대한 고급 지식을 소유하고 있어야 합니다. 컴퓨터 프로그래밍 기초 및 Windows 내부 기능에 대한 경험이 권장됩니다. 또한 Mandiant Windows 기업 이슈 대응 또는 Linux 기업 이슈 대응 과정을 완료하는 것이 좋습니다.

과정 목표

  • ATT&CK 프레임워크를 사용해서 조직의 전략적 보안 의사결정 안내
  • 이슈 대응 프로세스의 단계 요약
  • 리더십 및 기타 사용자에 대한 효율적인 이슈 정보 소통 방법 확인
  • 위협 행위자가 사용하는 고급 기술에 대한 이해 표현
  • 고급 APT 위협 행위자를 대면할 때 직면하지만 세부적이지 않은 그룹에서 거의 활용되지 않는 비전통적인 이식 배포 기술에 대한 논의
  • 난독화 사용 시기 인식
  • YARA에 대한 정의 및 YARA 규칙 개발 방법 요약
  • 일반 메모리 구조 및 일반 메모리 공격 방법의 레이아웃 탐색
  • 다양한 분석 도구의 장단점 설명
  • 사용 가능한 증거 출처, 증거 수집 방법, 데이터 분석 및 조사를 위한 일반 조사 시나리오와 사용 가능한 도구에 대한 개요 제공
  • 활성 공격자 대응 시 대응 속도 조절의 필요성과 IR 팀의 조직 및 구성에 미치는 영향 강조

이 강좌가 유용한 대상

이 과정은 표적 공격을 조사하는 실무 경험과 훼손된 시스템을 선별하는 데 필요한 분석 단계를 제공하도록 설계된 속성 기술 과정입니다. 과정 내용과 진행 속도는 보안 운영, 이슈 대응, 포렌식 분석, 네트워크 트래픽 분석, 로그 분석, 보안 평가 및 침투 시험, 또는 보안 아키텍처 및 시스템 관리 업무 수행에 대한 어느 정도의 배경 지식이 있는 학생들에 맞게 조정되어 있습니다. 또한 CIRT/이슈 대응팀을 관리하는 담당자나 포렌식 분석 및 기타 조사 작업의 감독 역할을 맡은 담당자에게도 적합합니다.

작동 방식

제공 방법

강사 주도형 오프라인 교육

소요 시간

5일(대면 전달)

준비물

인터넷 연결과 최신 브라우저(예: Google Chrome)가 있는 컴퓨터. 

과정 개요

이 과정은 다음 모듈로 구성되어 있으며 안내에 따라 실습이 포함되어 있습니다.

MITRE ATT&CK 

  • MITRE ATT&CK 프레임워크 
  • ATT&CK 탐색기 

이슈 대응 프로세스 

  • 이슈 대응 정의 
  • NIST 이슈 대응 프로세스 소개 
  • 준비 
  • 감지 및 분석 
  • 격리, 박멸, 복구 
  • 이슈 사후 활동 

커뮤니케이션 및 고급 이슈 처리 

  • 준비 
  • 이슈 도중 
  • 이슈 사후 활동 
  • 도움말 및 유용한 정보 

고급 기술 

  • DLL 하이재킹 
  • 애플리케이션 시밍(Shimming) 
  • COM 하이재킹 
  • 확장 프로그램 핸들러 하이재킹 
  • Windows 관리 도구(WMI) 
  • Windows 이벤트 로그 조작 

고급 인식 

  • 인터넷 정보 서비스(IIS) 모듈 
  • 전송 교환 에이전트 
  • 원격 액세스 도구 

난독화 

  • 난독화 소개 
  • 스크립트 기반 난독화 
  • 인코딩 난독화 
  • 공격 방지 난독화 
  • 조기 감지 

YARA로 대응 

  • YARA 개요 
  • YARA 실행 
  • YARA 구문 
  • YARA 구문 조건 
  • 규칙 만들기 
  • 모듈 및 추가 개념 
  • 고려사항 

메모리 분석 

  • 메모리가 중요한 이유 
  • 메모리 획득 
  • 메모리 구조 소개 
  • 메모리 공격 
  • 변동성을 사용한 메모리 분석 

확장성 및 스택 

  • 배경 
  • 스태킹이란 무엇인가요? 
  • 공격 탐지를 위한 스태킹 

Cloud IR 소개 

  • 클라우드 컴퓨팅 소개 
  • AWS 
  • Azure 
  • Google Cloud 
  • Cloud IR 방법론 

실시간 공격자 

  • 조사 속도 
  • 격리, 박멸, 생존 
  • 사용자 인증 정보 
  • 능동적 방어 

다음 단계 수행

Mandiant Academy에 문의하여 자세한 내용을 알아보고 지금 강좌를 예약하세요.

자세히 알아보기
Google Cloud
Docs지원
  • ‪English‬
  • ‪Deutsch‬
  • ‪Español‬
  • ‪Español (Latinoamérica)‬
  • ‪Français‬
  • ‪Indonesia‬
  • ‪Italiano‬
  • ‪Português (Brasil)‬
  • ‪简体中文‬
  • ‪繁體中文‬
  • ‪日本語‬
  • ‪한국어‬
콘솔
로그인
무료로 시작하기
문의하기
  • 디지털 혁신 가속화
  • 디지털 혁신을 이제 막 시작한 기업이든 이미 일정 수준에 도달한 기업이든 Google Cloud를 사용하면 가장 까다로운 도전과제를 해결할 수 있습니다.
  • Google Cloud 제품
  • 100개가 넘는 제품을 살펴보세요. 신규 고객에게는 워크로드를 실행, 테스트, 배포하는 데 사용할 수 있는 $300의 무료 크레딧이 제공됩니다. 모든 고객이 월간 사용량 한도까지 25개 이상의 제품을 무료로 사용할 수 있습니다.
  • 투명한 가격 책정 방식으로 비용 절감
  • Google Cloud는 사용한 만큼만 지불하는 가격 책정 방식으로 월별 사용량과 선불 리소스의 할인율을 기준으로 자동 할인을 제공합니다. 지금 Google에 문의하여 견적을 받아보세요.
Google Cloud