类似推荐
编辑推荐
基于ATT&CK框架与开源工具,让高级持续性威胁无处藏身。
内容简介
本书共分为四部分:
第一部分介绍基础知识,帮助你了解威胁情报的概念及如何使用它,如何收集数据及如何通过开发数据模型来理解数据。
第二部分介绍如何理解对手。
第三部分介绍如何使用开源工具针对TH构建实验室环境,并通过实际示例介绍如何计划猎杀。
第四部分主要介绍评估数据质量、记录猎杀、定义和选择跟踪指标、与团队沟通猎杀计划以及向高管汇报TH结果等方面的诀窍和技巧。
作者简介
作者瓦伦蒂娜·科斯塔-加斯孔(Valentina Costa-Gazcón),资深网络威胁情报分析师。
专门跟踪全球高级持续性威胁(APT),常使用MITREATT&CK框架分析其工具以及战术、技术和程序(TTP)。她是BlueSpace社区(BlueSpaceSec)的创始人之一,也是RobertoRodriguez创立的开放式威胁研究(Open ThreatResearch,OTR_Community)的核心成员。
章节目录
版权信息
推荐语
译者序
前言
读者对象
内容概览
如何充分利用本书
下载彩色图像
排版约定
作者简介
主要译者简介
审校者简介
第一部分 网络威胁情报
第1章 什么是网络威胁情报
1.1 网络威胁情报概述
1.2 情报周期
1.3 定义情报需求
1.4 收集过程
1.5 处理与利用
1.6 偏见与分析
1.7 小结
第2章 什么是威胁猎杀
2.1 技术要求
2.2 威胁猎杀的定义
2.3 威胁猎杀成熟度模型
2.4 威胁猎杀过程
2.5 构建假设
2.6 小结
第3章 数据来源
3.1 技术要求
3.2 了解已收集的数据
3.3 Windows本机工具
3.4 数据源
3.5 小结
第二部分 理解对手
第4章 映射对手
4.1 技术要求
4.2 ATT&CK框架
4.3 利用ATT&CK进行映射
4.4 自我测试
4.5 小结
第5章 使用数据
5.1 技术要求
5.2 使用数据字典
5.3 使用MITRE CAR
5.4 使用Sigma规则
5.5 小结
第6章 对手仿真
6.1 创建对手仿真计划
6.2 仿真威胁
6.3 自我测试
6.4 小结
第三部分 研究环境应用
第7章 创建研究环境
7.1 技术要求
7.2 设置研究环境
7.3 安装VMware ESXI
7.4 安装Windows服务器
7.5 将Windows服务器配置为域控制器
7.6 设置ELK
7.7 配置Winlogbeat
7.8 额外好处:将Mordor数据集添加到ELK实例
7.9 HELK:Roberto Rodriguez的开源工具
7.10 小结
第8章 查询数据
8.1 技术要求
8.2 基于Atomic Red Team的原子搜索
8.3 Atomic Red Team测试周期
8.4 Quasar RAT
8.5 小结
第9章 猎杀对手
9.1 技术要求
9.2 MITRE评估
9.3 使用MITRE CALDERA
9.4 Sigma规则
9.5 小结
第10章 记录和自动化流程的重要性
10.1 文档的重要性
10.2 Threat Hunter Playbook
10.3 Jupyter Notebook
10.4 更新猎杀过程
10.5 自动化的重要性
10.6 小结
第四部分 交流成功经验
第11章 评估数据质量
11.1 技术要求
11.2 区分优劣数据
11.3 提高数据质量
11.4 小结
第12章 理解输出
12.1 理解猎杀结果
12.2 选择好的分析方法的重要性
12.3 自我测试
12.4 小结
第13章 定义跟踪指标
13.1 技术要求
13.2 定义良好指标的重要性
13.3 如何确定猎杀计划成功
13.4 小结
第14章 让响应团队参与并做好沟通
14.1 让事件响应团队参与进来
14.2 沟通对威胁猎杀计划成功与否的影响
14.3 自我测试
14.4 小结
附录 猎杀现状
ATT&CK与威胁猎杀实战是2022年由机械工业出版社华章分社出版,作者[西] 瓦伦蒂娜·科斯塔-加斯孔。
得书感谢您对《ATT&CK与威胁猎杀实战》关注和支持,如本书内容有不良信息或侵权等情形的,请联系本网站。
