고급 영구 위협(Advanced Persistent Threats) 라고도 하는 표적형 공격(Targeted attack)은 정보를 훔치거나, 정보를 수정하거나, 정보나 시스템을 파괴하기 위해 특정 조직을 목표로 하는 스파이 활동의 진화이다.
표적형 공격에 의해 일번적으로 회피되는 활동 두 가지
->enumeration of users, enumeration of shares
사이버 보안의 맥락에서, TOR이라는 약자는 무엇을 의미
-> 아 씨발!!!!!! The Onion Router
Windows Event Forwarding이 직접 의존하는 두 가지 서비스...
-> Windows Remote Management (WinRM) 윈도우 원격 관리,
Windows Event Collector (Wecsvc) 윈도우즈 이벤트 수집기
대체 어딨냐고 이거 장난하냐
시스템에서 이벤트를 수집하는 구독을 생성하려면 먼저 수집 시스템(수집기)과 이벤트를 수집할 각 시스템(소스)을 모두 구성해야 합니다. 이벤트 수집 기능을 사용하려면 전달 및 수집 시스템을 모두 구성해야 합니다. 이 기능은 WinRM(윈도우즈 Remote Management) 서비스와 Wecsvc(윈도우즈 이벤트 수집기) 서비스에 따라 달라집니다. 두 서비스는 전달 및 수집 프로세스에 참여하는 컴퓨터에서 실행되어야 합니다. 또한 WinRM 기반 인증을 구성하고 푸시(소스 시작) 모드 또는 풀(콜렉터 시작) 모드를 선택해야 합니다.
pull mode-based Windows Event Forwarding 생성 시 이벤트 원본을 구성하는 방법?
-> in the event subscription
Rapid Attack 특:
Rapid and Automated, Disruptive, Supply chain, Multi-technique , Fast, Destructive
정점 공격자에 의해 어떤 유형의 공격이 더 잘 수행됩니까?
->제로데이 공격
일반 공격자가 수행할 수 있는 공격 유형은 무엇입니까?
-> 파일기반 멀웨어
윈도우 Defender Advanced Threat Protection 동작 분석에서 반사 DLL 로딩을 감지하는 데 사용되는 주요 요소
-> DLL 코드에 대한 메모리 할당
소프트웨어 동작을 ML 알고리즘에서 사용하는 기능으로 변환하기 위해 윈도우 디펜더 ATP는 프로세스 "behavior trees"의 개념을 사용한다. 이것은 소프트웨어 프로세스의 동작이 그 자체의 동작뿐만 아니라 하위 프로세스 및 기타 관련 프로세스의 동작에 의해서도 정의된다는 전제에 기초한다.
심층 보안 접근 방식의 3대 요소
-> protect, detect, and respond 보호, 탐지 및 대응
다음 중 등록된 AMSI 제공자는 무엇입니까?
->Windows Defender 안티바이러스
Azure Security Center가 주로 사용하는 RDP/SSH 무차별 공격 탐지 기술
->anomaly detection 이상탐지
출처: Microsoft Learning Platform
'보안공부 > MS 보안' 카테고리의 다른 글
4-Powershell Security Best Practices (0) | 2021.05.02 |
---|---|
3-Planning a Security Incident Response (0) | 2021.04.30 |
Analyzing Threat Detection Solutions in Action (0) | 2021.04.24 |
2.3 오답노트 (0) | 2021.04.18 |
POLICIES (0) | 2021.03.13 |