도서 소개

실제 위협을 놓치지 않는 탐지 규칙을 직접 작성하고 검증한다

탐지 규칙은 작성하는 것만으로는 충분하지 않다. 작성한 규칙이 실제 위협을 제대로 포착하는지, 탐지 파이프라인에서 안정적으로 작동하는지 체계적으로 검증해야 한다.

이 책은 탐지 검증의 기초부터 실무 적용까지 아우르는 실습 가이드다. 실제 사례를 바탕으로 탐지 규칙의 설계부터 검증까지 전체 라이프사이클을 다루며, 각 단계에서 탐지 체계를 평가하고 테스트하는 방법을 안내한다. 또한 실습 문제와 프로젝트를 통해 탐지 규칙을 직접 작성하고 검증해볼 수 있다.

이 책을 마치면 조직의 탐지 체계를 점검하는 데 필요한 실무 역량을 갖추고, 보안 운영 수준을 한 단계 끌어올릴 수 있을 것이다.

  출판사 리뷰

탐지 규칙의 설계부터 검증까지 한 권에 담았다
현장 실무에서 바로 쓸 수 있는 탐지 엔지니어링 실습 가이드

보안 운영 환경에서 위협 탐지의 중요성은 갈수록 커지고 있지만, 탐지 규칙의 설계부터 검증까지 아우르는 방법론을 체계적으로 다룬 책은 찾아보기 어렵다. 이 책은 탐지 엔지니어링의 핵심 개념부터 전체 라이프사이클을 빠짐없이 다루며, 오픈소스 도구를 활용한 실습 환경 구축부터 탐지 규칙의 작성과 검증까지 직접 해볼 수 있도록 구성했다.

인시던트 대응, 디지털 포렌식, 위협 인텔리전스 분야에서 다년간 경험을 쌓은 전문가들이 집필한 만큼 기술적인 내용에만 머무르지 않는다. 탐지 성과를 측정하고 경영진에게 보고하는 방법, 탐지 엔지니어로서의 커리어 설계까지 현장 노하우를 아낌없이 담았다.

실전에서 통하는 탐지 역량을 갖추고 싶다면, 이 책이 그 답이 될 것이다.

  작가 소개

지은이 : 게리 J. 캐츠
아직도 인생에서 뭘 해야 할지, 삶의 의미가 대체 무엇인지 고민 중이다. 이런 답 없는 고민에 깊이 빠져 허우적대지 않을 때면, 가끔 사이버 보안 문제에 대해 생각하고 글로 남기곤 한다. 그렇게 끄적인 것들이 때때로 기사나 책이 되기도 한다.

지은이 : 메건 로디
사고 대응부터 위협 인텔리전스, 그리고 탐지 엔지니어에 이르기까지 다양한 경력을 쌓은 정보 보안 전문가다. 또한 샌스 인스티튜트(SANS Institute)에서 교육 과정 개발자이자 강사로 활동하면서 클라우드 사고 대응 및 포렌식에 관한 연구를 정기적으로 발표하고 있다. 사이버 보안 업무 외에는 텍사스주 오스틴에서 아마추어 무에타이 선수로 훈련하며 대회에 출전하고 있다.

지은이 : 제이슨 데이알싱
사이버 보안 분야에서 9년 이상의 경력을 쌓은 전문 컨설턴트다. 지난 5년간 디지털 포렌식 및 사고 대응(DFIR)에 집중해왔다. 취미는 데이터를 다루는 것과 러스트를 배우는 것이다.

  목차

■ 1부. 탐지 엔지니어링 소개
1장. 탐지 엔지니어링 기본 개념
기본 개념
____통합 킬 체인
____마이터 어택 프레임워크
____고통의 피라미드
____사이버 공격 유형
____탐지 엔지니어링 동기부여
____탐지 엔지니어링 정의
____중요한 차이점
탐지 엔지니어링 프로그램의 가치
____더 나은 탐지의 필요성
____우수한 탐지의 특징
____탐지 엔지니어링 프로그램의 이점
책의 주요 내용 안내
____책의 구성
실전 실습
요약

2장. 탐지 엔지니어링 라이프사이클
1단계 - 요구사항 탐색
____전체 탐지 요구사항의 특성
____탐지 요구사항 소스
실습 - 조직의 탐지 요구사항 소스 이해하기
2단계 - 분류
____위협 심각도
____조직적 연계
____탐지 범위
____익스플로잇 공격
3단계 - 조사
____데이터 소스 식별
____탐지 지표 유형 결정
____분석
____검증 기준 설정
4단계 - 개발
5단계 - 테스트
____테스트 데이터 유형
6단계 - 배포
요약

3장. 탐지 엔지니어링 실습 환경 구축
기술 요구사항
엘라스틱 스택
____도커를 사용한 엘라스틱 스택 구성
____엘라스틱 스택 구성
플릿 서버 설정
____플릿 서버 설치 및 구성
____플릿 서버 추가 설정
____실습 환경에 호스트 추가
____엘라스틱 에이전트 정책
첫 번째 탐지 구축
추가 정보
요약

■ 2부. 탐지 생성
4장. 탐지 데이터 소스
기술 요구사항
데이터 소스와 텔레메트리 이해
____텔레메트리 원시 데이터
____보안 도구
____마이터 어택 데이터 소스
____데이터 소스 식별
데이터 소스 문제와 해결 과제
____완전성
____품질
____적시성
____범위
____실습 - 데이터 소스 이해
데이터 소스 추가
____실습 - 웹 서버 데이터 소스 추가
요약
추가 정보

5장. 탐지 요구사항 조사
탐지 요구사항 단계 다시 살펴보기
탐지 요구사항 탐색
____도구 및 프로세스
____실습 - 조직의 요구사항 탐색
탐지 요구사항 분류
____위협 심각도
____조직적 연계
____탐지 범위
____익스플로잇 공격
____우선순위 계산
탐지 요구사항 조사
요약

6장. 침해 지표를 이용한 탐지 개발
기술 요구사항
침해 지표를 활용한 탐지
____시나리오 예제 - 지표를 사용한 IcedID 멀웨어 캠페인 식별
시나리오 1 실습
____시스몬을 데이터 소스로 설치 및 구성
____해시 탐지
____네트워크 기반 지표 탐지
____실습 요약
요약
추가 정보

7장. 활동 지표를 이용한 탐지 개발
기술 요구사항
공격 도구 탐지
____시나리오 예제 - PsExec 사용
전술, 기술, 절차 탐지
____시나리오 예제 - MOTW 우회 기술
요약

8장. 문서화 및 탐지 파이프라인
탐지 문서화
____실습 - 탐지 문서화
탐지 저장소 탐색
____코드형 탐지
____탐지 파이프라인 생성 시 해결해야 할 과제
____실습 - 엘라스틱의 탐지 규칙 프로젝트를 사용해 규칙 커밋하기
요약

■ 3부. 탐지 검증
9장. 탐지 검증
기술 요구사항
검증 프로세스 이해
퍼플팀 훈련 이해
공격자 활동 시뮬레이션
____아토믹 레드팀
____칼데라
____실습 - 아토믹 레드팀을 사용한 단일 기술 탐지 검증
____실습 - 칼데라를 사용한 여러 기술 탐지 검증
검증 결과 사용
____탐지 범위 측정
요약
추가 정보

10장. 위협 인텔리전스 활용
기술 요구사항
위협 인텔리전스 개요
____오픈 소스 인텔리전스
____내부 위협 인텔리전스
____위협 인텔리전스 수집
탐지 엔지니어링 라이프사이클에서 위협 인텔리전스
____요구사항 탐색
____분류
____조사
위협 인텔리전스를 이용한 탐지 엔지니어링 실습
____예제 - 탐지 엔지니어링에 위협 인텔리전스 블로그 활용
____예제 - 탐지 엔지니어링에 바이러스토탈 활용
위협 평가
____예제 - 탐지 엔지니어링에 위협 평가 활용
추가 정보
____위협 인텔리전스 소스와 개념
____온라인 스캐너 및 샌드박스
____마이터 어택
요약

■ 4부. 지표와 관리
11장. 성능 관리
성능 관리 소개
탐지 프로그램의 성숙도 평가
탐지 엔지니어링 프로그램의 효율성 측정
탐지 엔지니어링 프로그램의 효과 측정
____탐지 활동 우선순위 지정
____정밀도, 노이즈, 재현율
탐지 효과 계산
____낮은 정확도 탐지 범위 지표
____자동화된 검증
____높은 정확도 탐지 범위 지표
요약
추가 정보

■ 5부. 탐지 엔지니어링 진로
12장. 탐지 엔지니어 진로 안내
탐지 엔지니어링 분야 취업
____채용 공고
____기술 개발
직업으로서 탐지 엔지니어링
____탐지 엔지니어링의 역할과 책임
탐지 엔지니어링의 미래
____공격 표면
____가시성
____보안 장치 기능
____머신 러닝
요약

  회원리뷰