正版现货 可开具图书发票 下单后当天即可发货
¥ 74.25 7.5折 ¥ 99 全新
库存20件
作者[西]瓦伦蒂娜·科斯塔-加斯孔
出版社机械工业出版社
ISBN9787111703068
出版时间2021-08
装帧平装
开本16开
定价99元
货号11523374
上书时间2024-12-17
译者序前言作者简介审校者简介第一部分 网络威胁情报第1章 什么是网络威胁情报 21.1 网络威胁情报概述 21.1.1 战略情报 31.1.2 运营情报 31.1.3 战术情报 41.2 情报周期 51.2.1 计划与确定目标 71.2.2 准备与收集 71.2.3 处理与利用 71.2.4 分析与生产 71.2.5 传播与融合 71.2.6 评价与反馈 71.3 定义情报需求 81.4 收集过程 91.4.1 危害指标 101.4.2 了解恶意软件 101.4.3 使用公共资源进行收集:OSINT 111.4.4 蜜罐 111.4.5 恶意软件分析和沙箱 121.5 处理与利用 121.5.1 网络杀伤链 121.5.2 钻石模型 141.5.3 MITRE ATT&CK框架 141.6 偏见与分析 161.7 小结 16第2章 什么是威胁猎杀 172.1 技术要求 172.2 威胁猎杀的定义 172.2.1 威胁猎杀类型 182.2.2 威胁猎人技能 192.2.3 痛苦金字塔 202.3 威胁猎杀成熟度模型 212.4 威胁猎杀过程 222.4.1 威胁猎杀循环 222.4.2 威胁猎杀模型 232.4.3 数据驱动的方法 232.4.4 集成威胁情报的定向猎杀 252.5 构建假设 282.6 小结 29第3章 数据来源 303.1 技术要求 303.2 了解已收集的数据 303.2.1 操作系统基础 303.2.2 网络基础 333.3 Windows本机工具 423.3.1 Windows Event Viewer 423.3.2 WMI 453.3.3 ETW 463.4 数据源 473.4.1 终端数据 483.4.2 网络数据 513.4.3 安全数据 573.5 小结 61第二部分 理解对手第4章 映射对手 644.1 技术要求 644.2 ATT&CK框架 644.2.1 战术、技术、子技术和程序 654.2.2 ATT&CK矩阵 664.2.3 ATT&CK Navigator 684.3 利用ATT&CK进行映射 704.4 自我测试 734.5 小结 77第5章 使用数据 785.1 技术要求 785.2 使用数据字典 785.3 使用MITRE CAR 825.4 使用Sigma规则 855.5 小结 88第6章 对手仿真 896.1 创建对手仿真计划 896.1.1 对手仿真的含义 896.1.2 MITRE ATT&CK仿真计划 906.2?仿真威胁 916.2.1 Atomic Red Team 916.2.2 Mordor 936.2.3 CALDERA 946.2.4 其他工具 946.3 自我测试 956.4 小结 97第三部分 研究环境应用第7章 创建研究环境 1007.1 技术要求 1007.2 设置研究环境 1017.3 安装VMware ESXI 1027.3.1 创建虚拟局域网 1027.3.2 配置防火墙 1047.4 安装Windows服务器 1087.5 将Windows服务器配置为域控制器 1127.5.1 了解活动目录结构 1157.5.2 使服务器成为域控制器 1177.5.3 配置DHCP服务器 1187.5.4 创建组织单元 1227.5.5 创建用户 1237.5.6 创建组 1257.5.7 组策略对象 1287.5.8 设置审核策略 1317.5.9 添加新的客户端 1367.6 设置ELK 1397.6.1 配置Sysmon 1437.6.2 获取证书 1457.7 配置Winlogbeat 1467.8 额外好处:将Mordor数据集添加到ELK实例 1507.9 HELK:Roberto Rodriguez的开源工具 1507.10 小结 153第8章 查询数据 1548.1 技术要求 1548.2 基于Atomic Red Team的原子搜索 1548.3 Atomic Red Team测试周期 1558.3.1 初始访问测试 1568.3.2 执行测试 1638.3.3 持久化测试 1658.3.4 权限提升测试 1678.3.5 防御规避测试 1698.3.6 发现测试 1708.3.7 命令与控制测试 1718.3.8 Invoke-AtomicRedTeam 1728.4 Quasar RAT 1728.4.1 Quasar RAT现实案例 1738.4.2 执行和检测Quasar RAT 1748.4.3 持久化测试 1788.4.4 凭据访问测试 1808.4.5 横向移动测试 1818.5 小结 182第9章 猎杀对手 1839.1 技术要求 1839.2 MITRE评估 1839.2.1 将APT29数据集导入HELK 1849.2.2 猎杀APT29 1859.3 使用MITRE CALDERA 2059.3.1 设置CALDERA 2059.3.2 使用CALDERA执行仿真计划 2099.4 Sigma规则 2189.5 小结 221第10章 记录和自动化流程的重要性 22210.1 文档的重要性 22210.1.1 写好文档的关键 22210.1.2 记录猎杀行动 22410.2 Threat Hunter Playbook 22610.3 Jupyter Notebook 22810.4 更新猎杀过程 22810.5 自动化的重要性 22810.6 小结 230第四部分 交流成功经验第11章 评估数据质量 23211.1 技术要求 23211.2 区分优劣数据 23211.3 提高数据质量 23411.3.1 OSSEM Power-up 23611.3.2 DeTT&CT 23711.3.3 Sysmon-Modular 23811.4 小结 239第12章 理解输出 24012.1 理解猎杀结果 24012.2 选择好的分析方法的重要性 24312.3 自我测试 24312.4 小结 245第13章 定义跟踪指标 24613.1 技术要求 24613.2 定义良好指标的重要性 24613.3 如何确定猎杀计划成功 24813.4 小结 250第14章 让响应团队参与并做好沟通 25314.1 让事件响应团队参与进来 25314.2 沟通对威胁猎杀计划成功与否的影响 25514.3 自我测试 25814.4 小结 259附录 猎杀现状 260
第1章什么是网络威胁情报
为进行威胁猎杀,至少要对主要的网络威胁情报概念有基本的了解,这一点尤为重要。
本章的目的就是帮助你熟悉本书中使用的概念和术语。
具体来说,本章将介绍以下主题:
·网络威胁情报。
·情报周期。
·定义情报需求。
●收集过程。
·处理与利用。
·偏见与分析。
1.1网络威胁情报概述
本书的目的不在于深入探讨情报的不同定义和情报理论的多个方面的复杂问题,而是介绍情报流程e,以便在介绍网络威胁情报(Cyber Threat Intelligence,CTI)驱动的威胁猎杀和数据驱动的威胁猎杀之前,对CTI以及如何利用CTI流程有所了解。如果你对这些很熟悉,则可以直接跳过这一章。
如果要讨论情报学科的根源,我们可能可以追溯到19世纪,当时成立了第一个军事情报部门。我们甚至可以认为情报实践和战争一样古老,人类历史上有很多间谍故事,因为对战双方都想要占据上风。
一再有人说,要有军事优势,不仅要了解自己,还要了解敌人:他们怎么想?他们有多少资源?他们有多少武装力量?他们的最终目标是什么?
— 没有更多了 —
以下为对购买帮助不大的评价