디지털 포렌식과 사고 대응 2/e

1부. 사고 대응과 디지털 포렌식 기초
1장. 사고 대응의 이해
__사고 대응 절차
____디지털 포렌식의 역할
__사고 대응 프레임워크
____사고 대응 헌장
____컴퓨터 보안 사고 대응팀
______CSIRT 핵심팀
______기술 지원 인력
______조직 지원 인력
______외부 리소스
__사고 대응 계획
____사고 분류
__사고 대응 플레이북
____단계적 확대 절차
__사고 대응 프레임워크 테스트
__요약
__문제
__더 읽어볼 거리

2장. 사이버 사고 관리
__사고 대응팀 참여시키기
____CSIRT 모델
______SOC 에스컬레이션
______SOC와 CSIRT의 연합
______CSIRT 융합 센터
____워룸
____의사소통
____직원 교대
__위기 커뮤니케이션 통합
____내부 커뮤니케이션
____외부 커뮤니케이션
____공시
__사고 조사
__봉쇄 전략 통합
__정상으로 복귀 - 근절 및 복구
____근절 전략
____복구 전략
__요약
__질문
__더 읽어 볼 거리

3장. 디지털 포렌식 기본 원리
__법적 측면
____법률 및 규정
______증거 규칙
__디지털 포렌식 기본 원리
____연혁
____디지털 포렌식 절차
______식별
______보존
______수집
________적절한 증거의 취급
________관리 연속성
______조사
______분석
______제출
____디지털 포렌식 연구실
______물리적 보안
______도구
________하드웨어
________소프트웨어
________리눅스 포렌식 도구
________점프 키트
__요약
__질문
__더 읽어 볼 거리

2부. 증거 수집
4장. 네트워크 증거 수집
__네트워크 증거 개관
____준비
____네트워크 다이어그램
____구성
__방화벽과 프록시 로그
____방화벽
____웹 프록시 서버
__NetFlow
__패킷 캡처
____tcpdump
____WinPcap 및 RawCap
__Wireshark
__증거 수집
__요약
__질문
__더 읽어 볼 거리

5장. 호스트 기반 증거 확보
__준비
__휘발성 순위
__증거 확보
____증거 수집 절차
__휘발성 메모리 확보
____로컬 확보
______FTK Imager
______WinPmem
______RAM Capturer
____원격 획득
______WinPmem
______가상머신
__비휘발성 증거 확보
____CyLR.exe
____암호화 확인
__요약
__질문
__더 읽어 볼 거리

6장. 포렌식 이미징 이해
__포렌식 이미징 이해
__이미징 도구
__스테이지 드라이브 준비하기
__Digital
__쓰기 방지 장치의 사용
__이미징 기법
____데드 이미징
______FTK Imager로 이미징하기
____라이브 이미징
____원격 메모리 획득
______WinPmem
______F-Response
____가상머신
______리눅스 이미징
__요약
__질문
__더 읽어 볼 거리

3부. 증거 분석
7장. 네트워크 증거 분석
__네트워크 증거의 개요
__방화벽 및 프록시 로그 분석
____DNS 블랙리스트
____SIEM 도구들
____Elastic Stack
__NetFlow 분석
__패킷 캡처 분석
____명령행 도구
____Moloch
____Wireshark
__요약
__질문
__더 읽어 볼 거리

8장. 시스템 메모리 분석
__메모리 분석 개요
__메모리 분석 방법론
____SANS 6 단계 방법론
____네트워크 연결 방법론
____메모리 분석 도구
__Redline 메모리 분석
____Redline 분석 프로세스
____Redline 프로세스 분석
__Volatility 메모리 분석
____Volatility 설치
____Volatility 다루기
____Volatility 이미지 정보
____Volatility 프로세스 분석
______프로세스 목록
______프로세스 검사
______프로세스 트리
______DLL 리스트
______handles 플러그인
______LDR 모듈
______프로세스 xview
____Volatility 네트워크 분석
______connscan
____Volatility 증거 추출
______메모리 덤프
______DLL 파일 덤프
______실행 파일 덤프
__Strings 메모리 분석
____Strings 설치
____IP 주소 검색
____HTTP 검색
__요약
__질문
__더 읽어 볼 거리

9장. 시스템 스토리지 분석
__포렌식 플랫폼
__Autopsy
____Autopsy 설치
____Case 열기
____Autopsy 탐색
____Case 조사
______웹 아티팩트
______이메일
______연결 장치
______삭제 파일
______키워드 검색
______타임라인 분석
__MFT 분석
__레지스트리 분석
__요약
__질문
__더 읽어 볼 거리

10장. 로그 파일 분석
__로그 및 로그 관리
__이벤트 관리 시스템의 작업
____Security Onion
____Elastic Stack
__윈도우 로그의 이해
__윈도우 이벤트 로그 분석
____획득
____선별
____분석
______Event Log Explorer
______Skadi 로그 분석
__요약
__질문
__더 읽어 볼 거리

11장. 사고 보고서 작성
__문서 작성 개요
____문서 작성 대상
____문서 작성 유형
____출처
____독자
__사고 추적
____신속 사고 대응
__서면 보고
____핵심 요약
____사고 보고서
____포렌식 보고서
__요약
__질문
__더 읽어 볼 거리

4부. 전문 주제
12장. 사고 대응을 위한 악성 코드 분석
__악성 코드 분류
__악성 코드 분석 개요
____정적 분석
____동적 분석
__악성 코드 분석
____정적 분석
______ClamAV
______Pestudio
______REMnux
______YARA
__동적 분석
____악성 코드 샌드박스
____Process Explorer
______Process Spawn Control
____Cuckoo Sandbox
__요약
__질문
__더 읽어 볼 거리

13장. 위협 인텔리전스 활용
__위협 인텔리전스 이해
____위협 인텔리전스 유형
____고통의 피라미드
__위협 인텔리전스 방법론
____위협 인텔리전스 지휘
______킬 체인
______다이아몬드 모델
__위협 인텔리전스 소스
____내부 개발 소스
____상업적 소스
____오픈소스
__위협 인텔리전스 플랫폼
____MISP 위협 공유
__위협 인텔리전스의 사용
____예방적 위협 인텔리전스
____사후적 위협 인텔리전스
______Autopsy
______Redline에 IOCs 추가
______Yara와 Loki
__요약
__질문
__더 읽어 볼 거리

14장. 위협 사냥
__위협 사냥 성숙도 모델
__위협 사냥 주기
____이벤트 착수
____작업 가설 생성
____위협 인텔리전스 활용
____포렌식 기법 적용
____새로운 지표 식별
____기존 가설 강화
__MITRE ATT&CK
__위협 사냥 계획
__위협 사냥 보고
__요약
__질문
__더 읽어 볼 거리