IOC 기반 복구 검증
incident response
IOC 식별해시, 파일 경로, 레지스트리 Run 키, C2 도메인, 의심 프로세스와
EDR 알림을 수집합니다.
격리호스트 네트워크 차단, 계정 잠금, 공유 폴더 분리로 확산을 막되
증거 삭제는 피합니다.
증거·timeline디스크 이미지, 메모리, 이벤트 로그, 프록시/DNS 기록을 보존하고
최초 침투부터 실행 순서를 만듭니다.
제거·복구지속성 제거, 취약점 패치, 자격 증명 교체 후 깨끗한 백업으로
복구하고 재감염을 모니터링합니다.
격리 후 근절·복구
IR lifecycle
탐지IOC·알림 확인
격리/보존확산 차단·증거 확보
근절/복구패치·백업·모니터링
악성코드 대응과 증거 점검
timeline은 누가 언제 실행했고 어떤 계정·호스트로 이동했는지 묶어
eradication 범위를 정합니다. 복구 후에는 IOC 재탐지와 로그
모니터링으로 검증합니다.