预购商品
书目分类
特别推荐
本書主要介紹ATT&CK框架與威脅獵殺。第1部分為基礎知識,説明讀者瞭解如何收集資料以及如何通過開發資料模型來理解資料,以及一些基本的網路和作業系統概念,並介紹一些主要的TH資料來源。第2部分介紹如何使用開源工具構建實驗室環境,以及如何通過實際例子計畫獵殺。結尾討論如何評估資料品質,記錄、定義和選擇跟蹤指標等方面的內容。
譯者序 前言 作者簡介 審校者簡介 第一部分 網路威脅情報 第1章 什麼是網路威脅情報 2 1.1 網路威脅情報概述 2 1.1.1 戰略情報 3 1.1.2 運營情報 3 1.1.3 戰術情報 4 1.2 情報週期 5 1.2.1 計畫與確定目標 7 1.2.2 準備與收集 7 1.2.3 處理與利用 7 1.2.4 分析與生產 7 1.2.5 傳播與融合 7 1.2.6 評價與回饋 7 1.3 定義情報需求 8 1.4 收集過程 9 1.4.1 危害指標 10 1.4.2 瞭解惡意軟體 10 1.4.3 使用公共資源進行收集:OSINT 11 1.4.4 蜜罐 11 1.4.5 惡意軟體分析和沙箱 12 1.5 處理與利用 12 1.5.1 網路殺傷鏈 12 1.5.2 鑽石模型 14 1.5.3 MITRE ATT&CK框架 14 1.6 偏見與分析 16 1.7 小結 16 第2章 什麼是威脅獵殺 17 2.1 技術要求 17 2.2 威脅獵殺的定義 17 2.2.1 威脅獵殺類型 18 2.2.2 威脅獵人技能 19 2.2.3 痛苦金字塔 20 2.3 威脅獵殺成熟度模型 21 2.4 威脅獵殺過程 22 2.4.1 威脅獵殺迴圈 22 2.4.2 威脅獵殺模型 23 2.4.3 資料驅動的方法 23 2.4.4 集成威脅情報的定向獵殺 25 2.5 構建假設 28 2.6 小結 29 第3章 資料來源 30 3.1 技術要求 30 3.2 瞭解已收集的資料 30 3.2.1 作業系統基礎 30 3.2.2 網路基礎 33 3.3 Windows本機工具 42 3.3.1 Windows Event Viewer 42 3.3.2 WMI 45 3.3.3 ETW 46 3.4 資料來源 47 3.4.1 終端資料 48 3.4.2 網路資料 51 3.4.3 安全資料 57 3.5 小結 61 第二部分 理解對手 第4章 映射對手 64 4.1 技術要求 64 4.2 ATT&CK框架 64 4.2.1 戰術、技術、子技術和程式 65 4.2.2 ATT&CK矩陣 66 4.2.3 ATT&CK Navigator 68 4.3 利用ATT&CK進行映射 70 4.4 自我測試 73 4.5 小結 77 第5章 使用資料 78 5.1 技術要求 78 5.2 使用資料字典 78 5.3 使用MITRE CAR 82 5.4 使用Sigma規則 85 5.5 小結 88 第6章 對手模擬 89 6.1 創建對手模擬計畫 89 6.1.1 對手模擬的含義 89 6.1.2 MITRE ATT&CK模擬計畫 90 6.2?模擬威脅 91 6.2.1 Atomic Red Team 91 6.2.2 Mordor 93 6.2.3 CALDERA 94 6.2.4 其他工具 94 6.3 自我測試 95 6.4 小結 97 第三部分 研究環境應用 第7章 創建研究環境 100 7.1 技術要求 100 7.2 設置研究環境 101 7.3 安裝VMware ESXI 102 7.3.1 創建虛擬區域網路 102 7.3.2 配置防火牆 104 7.4 安裝Windows伺服器 108 7.5 將Windows伺服器配置為網域控制站 112 7.5.1 瞭解活動目錄結構 115 7.5.2 使伺服器成為網域控制站 117 7.5.3 配置DHCP伺服器 118 7.5.4 創建組織單元 122 7.5.5 創建用戶 123 7.5.6 創建組 125 7.5.7 群組原則物件 128 7.5.8 設置稽核原則 131 7.5.9 添加新的用戶端 136 7.6 設置ELK 139 7.6.1 配置Sysmon 143 7.6.2 獲取證書 145 7.7 配置Winlogbeat 146 7.8 額外好處:將Mordor資料集添加到ELK實例 150 7.9 HELK:Roberto Rodriguez的開源工具 150 7.10 小結 153 第8章 查詢資料 154 8.1 技術要求 154 8.2 基於Atomic Red Team的原子搜索 154 8.3 Atomic Red Team測試週期 155 8.3.1 初始訪問測試 156 8.3.2 執行測試 163 8.3.3 持久化測試 165 8.3.4 許可權提升測試 167 8.3.5 防禦規避測試 169 8.3.6 發現測試 170 8.3.7 命令與控制測試 171 8.3.8 Invoke-AtomicRedTeam 172 8.4 Quasar RAT 172 8.4.1 Quasar RAT現實案例 173 8.4.2 執行和檢測Quasar RAT 174 8.4.3 持久化測試 178 8.4.4 憑據訪問測試 180 8.4.5 橫向移動測試 181 8.5 小結 182 第9章 獵殺對手 183 9.1 技術要求 183 9.2 MITRE評估 183 9.2.1 將APT29資料集導入HELK 184 9.2.2 獵殺APT29 185 9.3 使用MITRE CALDERA 205 9.3.1 設置CALDERA 205 9.3.2 使用CALDERA執行模擬計畫 209 9.4 Sigma規則 218 9.5 小結 221 第10章 記錄和自動化流程的重要性 222 10.1 文檔的重要性 222 10.1.1 寫好文檔的關鍵 222 10.1.2 記錄獵殺行動 224 10.2 Threat Hunter Playbook 226 10.3 Jupyter Notebook 228 10.4 更新獵殺過程 228 10.5 自動化的重要性 228 10.6 小結 230 第四部分 交流成功經驗 第11章 評估資料品質 232 11.1 技術要求 232 11.2 區分優劣數據 232 11.3 提高資料品質 234 11.3.1 OSSEM Power-up 236 11.3.2 DeTT&CT 237 11.3.3 Sysmon-Modular 238 11.4 小結 239 第12章 理解輸出 240 12.1 理解獵殺結果 240 12.2 選擇好的分析方法的重要性 243 12.3 自我測試 243 12.4 小結 245 第13章 定義跟蹤指標 246 13.1 技術要求 246 13.2 定義良好指標的重要性 246 13.3 如何確定獵殺計畫成功 248 13.4 小結 250 第14章 讓回應團隊參與並做好溝通 253 14.1 讓事件回應團隊參與進來 253 14.2 溝通對威脅獵殺計畫成功與否的影響 255 14.3 自我測試 258 14.4 小結 259 附錄 獵殺現狀 260
客服公告
热门活动
订阅电子报
