네트워크 보안 모니터링

1부. 시작하기

1장. 능동적 보안 관제의 목적
- 능동적 보안 관제 소개
- 능동적 보안 관제 시험 예시
- 능동적 보안 관제 데이터의 범위
- 정보 수집의 사용 방법
- 능동적 보안 관제의 단점
- 능동적 보안 관제 구매
- 능동적 보안 관제를 위한 지원 정보
- 결론

2장. 네트워크 트래픽 수집: 수집, 저장, 관리
- 능동적 보안 관제를 위한 파일럿 시스템
- IP 주소와 네트워크 주소 변환
- 네트워크 시야 확보를 위한 센서 설치 장소 선정
- 네트워크 트래픽 수집
- 능동적 보안 관제 수행을 위한 플랫폼 선정
- 능동적 보안 관제의 플랫폼 관리를 위한 10가지 권고 사항
- 결론

2부. 시큐리티 어니언 설치

3장. 능동적 보안 관제를 위한 독립형 플랫폼 설치 및 운영
- 독립형 혹은 분산형 서버/클라이언트
- SO 설치 절차
- 독립형 플랫폼 설치
- 결론

4장. 분산 설치
- ISO 이미지를 이용한 SO 서버 설치
- SO iso 파일을 이용한 SO 센서 설치
- PPA를 이용하여 SO 서버 구성하기
- PPA를 이용한 SO 센서 만들기
- 결론

5장. SO 플랫폼 관리
- SO 최신 버전 유지하기
- SO 접근 제어 설정
- SO 데이터 저장 장치 관리
- 결론

3부. 분석 도구

6장. 명령어 기반의 패킷 분석 도구
- SO 도구의 범주
- Tcpdump 사용하기
- Dumpcap과 Tshark
- 아르거스(Argus)와 Ra 클라이언트
- 결론

7장. 그래픽 기반의 패킷 분석 도구
- WireShark 사용하기
- Xplico 사용하기
- NetworkMiner를 통한 콘텐츠 분석
- 결론

8장. 능동적 보안 관제 콘솔
- NSM 중심의 네트워크 트래픽 관찰
- 스구일 사용하기
- 스쿼트 사용하기
- 스노비 사용하기
- 엘사 사용하기
- 결론

4부. 능동적 보안 관제 활용

9장. 능동적 보안 관제 운영
- 기업 정보 보호 사이클
- 수집, 분석, 보고 및 종료
- 복구(Remediation)
- 결론

10장. 서버망 침해사고
- 서버 측 침해사고의 정의
- 서버 측 침해사고 발생
- 세션 데이터 분석
- 고려 사항
- 결론

11장. 사용자망 침해사고
- 클라이언트 사이드 침해의 정의
- 클라이언트 사이드 침해사고의 진행
- 목적지 포트 확인
- 명령 제어 채널 분석
- 결론

12장. SO 확장
- 브로를 사용한 실행 파일 분석
- 브로를 사용하여 바이너리 추출하기
- APT1 인텔리전스 사용하기
- 악성 바이너리 파일 다운로드 탐지
- 결론

13장. 프락시와 체크섬
- 프락시
- 체크섬
- 결론

14장. 결론
- 클라우드 컴퓨팅
- 워크 플로우, 보안 지표, 협업
- 결론

부록. SO 스크립트 및 환경 설정
- SO 운영 스크립트
- SO 업데이트