탐지 실습 1

1. 학습 목표

환경 준비: YARA 설치 (Linux/Windows 모두 가능).
기본 룰 작성:

<aside> 💡

rule Suspicious_EXE { strings: $a = "MZ" $b = "This program cannot be run" condition: $a at 0 and $b }

</aside>

→ 실행 파일 포맷(EXE) 검출 예제.
1. 테스트: yara Suspicious_EXE.yar sample.exe 실행.
2. 결과 분석: 탐지 여부 확인 후, 문자열 패턴 수정·추가.
# 학습 포인트
- 문자열 패턴 기반 탐지 → 악성코드 샘플 학습 필요.
- APT 실습 시 메모리 내 악성 DLL/쉘코드 탐지에 활용 가능.
3. Sigma Rule 실습

- 개요
- Sigma: SIEM·EDR 로그 탐지를 위한 범용 규칙 언어.
- 다양한 보안 솔루션에서 공통적으로 활용 가능한 표준 탐지 룰.
- 기초 연습 절차
1. 환경 준비: Sigma 룰 저장소 활용 (GitHub: sigmahq/sigma).
2. 기본 룰 작성 (예: PowerShell 의심 실행 탐지):
```
title: Suspicious PowerShell
logsource:
  product: windows
  service: security
detection:
  selection:
    EventID: 4688
    CommandLine|contains: "powershell.exe -enc"
  condition: selection
```
3. 룰 변환: sigmac -t splunk rule.yml → Splunk 쿼리 생성.
4. 테스트: 샘플 로그를 넣고 룰 탐지 결과 확인.
# 학습 포인트
- 실제 SOC 환경에서 가장 많이 쓰이는 룰 언어.
- APT의 내부 이동(Lateral Movement), 권한 상승 탐지에 특히 효과적.