실전 네트워크 보안 모니터링

▣ 01장: 실전 네트워크 보안 모니터링
NSM의 중요 용어
- 자산(Asset)
- 위협(Threat)
- 취약점(Vulnerability)
- 익스플로잇(Exploit)
- 위험도(Risk)
- 이상 징후(Anomaly)
- 사건(Incident)
침입 탐지
네트워크 보안 모니터링
취약점 중심 대 위협 중심의 방어
NSM 사이클: 수집, 탐지, 분석
- 수집
- 탐지
- 분석
NSM의 어려움
분석가 정의
- 필수 능력
- 분석가의 등급
- 성공 측정
- Security Onion
- 초기 설치
Security Onion 업데이트
- NSM 서비스 설정 실행
- Security Onion 테스트
결론

▣ 02장: 데이터 수집 준비
데이터 수집 응용 프레임워크 (ACF; Applied Collection Framework)
- 위협 정의
- 위험도 정량화
- 데이터 피드 선별
- 데이터 정밀화
예제 사례: 온라인 쇼핑몰
- 조직의 위협 정의
- 위험도 정량화
- 데이터 피드 선별
- 데이터 정밀화
결론

▣ 03장: 센서 플랫폼
NSM 데이터 타입
- 전체 패킷 수집 데이터
- 세션 데이터
- 통계 데이터
- 패킷 문자열(PSTR) 데이터
- 로그 데이터
- 경고 데이터
센서의 종류
- 수집 전용 센서
- 하프 사이클
- 전체 사이클 탐지
센서 하드웨어
- CPU
- 메모리
- 하드디스크 용량
- 네트워크 인터페이스
- 로드 밸런싱: 소켓 출발지 호스트버퍼 요구사항
- SPAN 포트 대 네트워크 탭
센서 운영체제
센서 배치
- 적절한 지원 활용
- 네트워크 인그레스/이그레스 위치
- 내부 IP 주소의 시야 확보
- 중요 자산과의 근접성
- 센서의 가시 영역도 제작
센서 보호하기
- 운영체제와 소프트웨어 업데이트
- 운영체제 보안 설정 강화
- 인터넷 접속 제한
- 최소한의 소프트웨어 설치
- VLAN 분할
- 호스트 기반 IDS
- 2단계 인증
- 네트워크 기반 IDS
결론

▣ 04장: 세션 데이터
플로우 레코드
- 넷플로우
- IPFIX
- 기타 플로우 타입
세션 데이터 수집
- 하드웨어 생성
- 소프트웨어 생성
SiLK를 이용한 플로우 데이터 수집 및 분석
- SiLK 포장 도구 모음
- SiLK 플로우 타입
- SiLK 분석 도구 모음
- Security Onion에 SiLK 설치
- rwfilter를 이용한 플로우 데이터 필터링
- 파이프를 이용한 Rwtools 간의 데이터 전달
- 기타 SiLK 자료
Argus를 이용한 플로우 데이터 수집 및 분석
- 솔루션 구조
- Argus의 기능
- 기본 데이터 추출
- 기타 Argus 자료
세션 데이터 저장 시 고려사항
결론

▣ 05장: 전체 패킷 수집 데이터
Dumpcap
Daemonlogger
Netsniff-NG
FPC 수집 도구 선정
FPC 수집 준비
- 저장 공간 고려사항
- Netsniff-NG와 IFPPS를 이용한 센서 인터페이스의 통신량 계산
- 세션 데이터를 이용한 센서 인터페이스의 통신량 계산
FPC 데이터의 저장 용량 줄이기
- 서비스 제거
- 호스트 간의 통신 제거
FPC 데이터 유지 관리
- 시간 기준의 데이터 유지 관리
- 용량 기준의 데이터 유지 관리
결론

▣ 06장: 패킷 문자열 데이터
패킷 문자열 데이터의 정의
PSTR 데이터 수집
- PSTR 데이터의 수동 생성
- URLSnarf
- Httpry
- Justniffer
PSTR 데이터 조회
- 로그스태시
- BASH 도구를 이용한 원시 텍스트 파싱
결론

▣ 07장: 탐지 장치, 침해 지표, 시그니처
탐지 장치
- 침해 지표와 시그니처
- 호스트와 네트워크의 침해 지표
- 정적 지표
- 가변적 지표
- 지표와 시그니처의 진전
- 시그니처 튜닝
- 정확도
- 중요 지표와 시그니처 표준
지표와 시그니처의 관리
- CSV 파일을 이용한 간단한 지표 및 시그니처 관리
지표와 시그니처 프레임워크
- 오픈 IOC
- STIX
결론

▣ 08장: 평판 기반 탐지
공개 평판 리스트
- 많이 사용되는 공개 평판 리스트
- 공개 평판 리스트를 사용 시 흔히 발생하는 문제
평판 기반 탐지의 자동화
- BASH 스크립트를 이용한 수동 추출 및 탐지
- 집단 인텔리전스 프레임워크
- Snort IP 평판 탐지
- Suricata IP 평판 탐지
- Bro를 이용한 평판 탐지
결론


▣ 09장: Snort와 Suricata를 이용한 시그니처 기반 탐지
Snort
- Snort 구조
Suricata
- Suricata 구조
Security Onion의 IDS 엔진 변경
침입 탐지를 위한 Snort와 Suricata의 초기화
Snort와 Suricata 설정
- 변수
- IP 변수
- 룰 세트 정의
- 경고 출력
- Snort 전처리기
- NIDS 모드의 추가 명령줄 옵션
IDS 룰
- 룰의 구조
- 룰 튜닝
Snort와 Suricata 경고 조회
- Snorby
- Sguil
결론

▣ 10장: Bro 플랫폼
Bro의 기본 개념
Bro 실행
Bro 로그
Bro를 사용한 커스텀 탐지 도구 생성
- 파일 카빙
- 선택적인 파일 추출
- 실시간 네트워크 트래픽에서 파일 추출
- Bro 코드 패키징
- 설정 옵션 추가
- Bro를 활용한 "다크넷" 모니터링
- 다크넷 스크립트 확장
- 기본 알림 기능 덮어쓰기
- 더 쉬운 억제, 이메일, 경고 방법
- Bro 로그에 새로운 필드 추가
결론

▣ 11장: 통계 데이터를 이용한 이상 징후 기반의 탐지
SiLK를 이용한 탑 토커(Top Talker) 조회
SiLK를 이용한 서비스 발견
통계를 활용한 탐지 심화 분석
GNUPLOT을 이용한 통계 시각화
구글 차트를 이용한 통계 시각화
Afterglow를 이용한 통계 시각화
결론

▣ 12장: 카나리 허니팟을 이용한 탐지
카나리 허니팟
허니팟의 종류
카나리 허니팟의 설계 구조
- 첫 번째 단계: 흉내낼 장비와 서비스 선정
- 두 번째 단계: 카나리 허니팟 위치 선정
- 세 번째 단계: 경고와 로그 생성 개발
허니팟 플랫폼
- Honeyd
- Kippo SSH 허니팟
- Tom's Honeypot
- 허니독스(Honeydocs)
결론

▣ 13장: 패킷 분석
패킷 입문
패킷 수학
- 16진수 바이트 이해하기
- 16진수 값을 2진수와 10진수로 변환하기
- 바이트 집계
패킷 해부
NSM 분석을 위한 TCPDUMP
패킷 분석을 위한 TSHARK
NSM 분석을 위한 와이어샤크
- 패킷 수집
- 시간 표시 형식 변경
- 수집 요약
- 프로토콜 계층
- 종단점과 대화
- 스트림 따라가기
- IO 그래프
- 객체 내보내기
- 커스텀 열 추가하기
- 프로토콜 해석 옵션 설정
- 수집과 디스플레이 필터
패킷 필터링
버클리 패킷 필터(BPF)
- BPF 구조
- 와이어샤크 디스플레이 필터
결론

▣ 14장: 내부 인텔리전스와 위협 인텔리전스
NSM을 위한 인텔리전스 사이클
- 요구사항 정의
- 계획
- 수집
- 가공
- 분석
- 전파
내부 인텔리전스 생성
- 네트워크 자산 기록과 물리적 상태
- 네트워크 자산 모델 정의
- 수동 실시간 자산 탐지 시스템
위협 인텔리전스 생성
- 적대적 호스트 조사
- 적대적인 파일 조사
결론

▣ 15장: 분석 절차
분석 방법
- 관계적 수사
- 감별 진단
- 분석 방법 구축
분석 모범 사례
- 직접 만든 패킷이 아니라면 절대라는
- 존재하지 않는다
- 데이터 추상화에 대한 경각심 유지
- 백지장도 맞들면 낫다
- 공격자를 절대로 (춤에) 초대하지 말라
- 패킷은 본질적으로 선하다
- 분석에서 와이어샤크의 중
- 천문학에서 망원경의 중요도 정도일 뿐이다
- 분류와 등급은 든든한 아군이다
- 10의 규칙
- 말발굽 소리가 들리면 말을 찾아라, 얼룩말을 찾지 말고
사건 질병 및 사망사례 회의
- 의료 M&M
- 정보 보안 M&M
- M&M 소집 시기
결론

▣ 부록01: Security Onion 제어 스크립트
상위 명령어
- nsm
- nsm_all_del
- nsm_all_del_quick
서버 제어 명령어
- nsm_server
- nsm_server_add
- nsm_server_backup-config
- nsm_server_backup-data
- nsm_server_clear
- nsm_server_del
- nsm_server_edit
- nsm_server_ps-status
- nsm_server_ps-start
- nsm_server_ps-stop
- nsm_server_ps-restart
- nsm_server_sensor-add
- nsm_server_sensor-del
- nsm_server_user-add
센서 제어 명령어
- nsm_sensor
- nsm_sensor_add
- nsm_sensor_backup-config
- nsm_sensor_backup-data
- nsm_sensor_clean
- nsm_sensor_clear
- nsm_sensor_del
- nsm_sensor_edit
- nsm_sensor_ps-daily-restart
- nsm_sensor_ps-status
- nsm_sensor_ps-start
- nsm_sensor_ps-stop
- nsm_sensor_ps-restart
- rule-update

▣ 부록02: Security Onion의 중요 파일과 디렉터리
애플리케이션 디렉터리와 설정 파일
- Security Onion
- Snort/Suricata
- PulledPork
- PRADS
- Bro
- ELSA
- Snorby
- Syslog-NG
- Sguil
센서 데이터 디렉터리

▣ 부록03: 패킷 헤더

▣ 부록04: 10진수/16진수 /아스키 변환표