2-Threat Detection 오답노트

고급 영구 위협(Advanced Persistent Threats) 라고도 하는 표적형 공격(Targeted attack)은 정보를 훔치거나, 정보를 수정하거나, 정보나 시스템을 파괴하기 위해 특정 조직을 목표로 하는 스파이 활동의 진화이다.

 

표적형 공격에 의해 일번적으로 회피되는 활동 두 가지

->enumeration of users, enumeration of shares

 

사이버 보안의 맥락에서, TOR이라는 약자는 무엇을 의미

-> 아 씨발!!!!!! The Onion Router

 

Windows Event Forwarding이 직접 의존하는 두 가지 서비스...

-> Windows Remote Management (WinRM) 윈도우 원격 관리,

Windows Event Collector (Wecsvc) 윈도우즈 이벤트 수집기

대체 어딨냐고 이거 장난하냐

시스템에서 이벤트를 수집하는 구독을 생성하려면 먼저 수집 시스템(수집기)과 이벤트를 수집할 각 시스템(소스)을 모두 구성해야 합니다. 이벤트 수집 기능을 사용하려면 전달 및 수집 시스템을 모두 구성해야 합니다. 이 기능은 WinRM(윈도우즈 Remote Management) 서비스와 Wecsvc(윈도우즈 이벤트 수집기) 서비스에 따라 달라집니다. 두 서비스는 전달 및 수집 프로세스에 참여하는 컴퓨터에서 실행되어야 합니다. 또한 WinRM 기반 인증을 구성하고 푸시(소스 시작) 모드 또는 풀(콜렉터 시작) 모드를 선택해야 합니다.

 

 

pull mode-based Windows Event Forwarding 생성 시 이벤트 원본을 구성하는 방법?

-> in the event subscription

 

Rapid Attack 특:

Rapid and Automated, Disruptive, Supply chain, Multi-technique , Fast, Destructive

 

정점 공격자에 의해 어떤 유형의 공격이 더 잘 수행됩니까?

->제로데이 공격

 

일반 공격자가 수행할 수 있는 공격 유형은 무엇입니까?

-> 파일기반 멀웨어

 

윈도우 Defender Advanced Threat Protection 동작 분석에서 반사 DLL 로딩을 감지하는 데 사용되는 주요 요소
-> DLL 코드에 대한 메모리 할당

소프트웨어 동작을 ML 알고리즘에서 사용하는 기능으로 변환하기 위해 윈도우 디펜더 ATP는 프로세스 "behavior trees"의 개념을 사용한다. 이것은 소프트웨어 프로세스의 동작이 그 자체의 동작뿐만 아니라 하위 프로세스 및 기타 관련 프로세스의 동작에 의해서도 정의된다는 전제에 기초한다.

 

심층 보안 접근 방식의 3대 요소

-> protect, detect, and respond  보호, 탐지 및 대응

 

다음 중 등록된 AMSI 제공자는 무엇입니까?

->Windows Defender 안티바이러스

 

Azure Security Center가 주로 사용하는 RDP/SSH 무차별 공격 탐지 기술

->anomaly detection 이상탐지

 

출처: Microsoft Learning Platform