ATT
新华书店全新正版书籍图书 保证_可开发票_极速发货支持7天无理由
¥ 74.5 7.5折 ¥ 99 全新
库存3件
浙江嘉兴
认证卖家担保交易快速发货售后保障
作者(西)瓦伦蒂娜·科斯塔-加斯孔
出版社机械工业出版社
ISBN9787111703068
出版时间2022-04
装帧平装
开本16开
定价99元
货号31418063
上书时间2024-10-18
商品详情
- 品相描述:全新
- 商品描述
-
目录
译者序<br/>前言<br/>作者简介<br/>审校者简介<br/>第一部分 网络威胁情报<br/>第1章 什么是网络威胁情报 2<br/>1.1 网络威胁情报概述 2<br/>1.1.1 战略情报 3<br/>1.1.2 运营情报 3<br/>1.1.3 战术情报 4<br/>1.2 情报周期 5<br/>1.2.1 计划与确定目标 7<br/>1.2.2 准备与收集 7<br/>1.2.3 处理与利用 7<br/>1.2.4 分析与生产 7<br/>1.2.5 传播与融合 7<br/>1.2.6 评价与反馈 7<br/>1.3 定义情报需求 8<br/>1.4 收集过程 9<br/>1.4.1 危害指标 10<br/>1.4.2 了解恶意软件 10<br/>1.4.3 使用公共资源进行收集:OSINT 11<br/>1.4.4 蜜罐 11<br/>1.4.5 恶意软件分析和沙箱 12<br/>1.5 处理与利用 12<br/>1.5.1 网络杀伤链 12<br/>1.5.2 钻石模型 14<br/>1.5.3 MITRE ATT&CK框架 14<br/>1.6 偏见与分析 16<br/>1.7 小结 16<br/>第2章 什么是威胁猎杀 17<br/>2.1 技术要求 17<br/>2.2 威胁猎杀的定义 17<br/>2.2.1 威胁猎杀类型 18<br/>2.2.2 威胁猎人技能 19<br/>2.2.3 痛苦金字塔 20<br/>2.3 威胁猎杀成熟度模型 21<br/>2.4 威胁猎杀过程 22<br/>2.4.1 威胁猎杀循环 22<br/>2.4.2 威胁猎杀模型 23<br/>2.4.3 数据驱动的方法 23<br/>2.4.4 集成威胁情报的定向猎杀 25<br/>2.5 构建假设 28<br/>2.6 小结 29<br/>第3章 数据来源 30<br/>3.1 技术要求 30<br/>3.2 了解已收集的数据 30<br/>3.2.1 操作系统基础 30<br/>3.2.2 网络基础 33<br/>3.3 Windows本机工具 42<br/>3.3.1 Windows Event Viewer 42<br/>3.3.2 WMI 45<br/>3.3.3 ETW 46<br/>3.4 数据源 47<br/>3.4.1 终端数据 48<br/>3.4.2 网络数据 51<br/>3.4.3 安全数据 57<br/>3.5 小结 61<br/>第二部分 理解对手<br/>第4章 映射对手 64<br/>4.1 技术要求 64<br/>4.2 ATT&CK框架 64<br/>4.2.1 战术、技术、子技术和程序 65<br/>4.2.2 ATT&CK矩阵 66<br/>4.2.3 ATT&CK Navigator 68<br/>4.3 利用ATT&CK进行映射 70<br/>4.4 自我测试 73<br/>4.5 小结 77<br/>第5章 使用数据 78<br/>5.1 技术要求 78<br/>5.2 使用数据字典 78<br/>5.3 使用MITRE CAR 82<br/>5.4 使用Sigma规则 85<br/>5.5 小结 88<br/>第6章 对手仿真 89<br/>6.1 创建对手仿真计划 89<br/>6.1.1 对手仿真的含义 89<br/>6.1.2 MITRE ATT&CK仿真计划 90<br/>6.2?仿真威胁 91<br/>6.2.1 Atomic Red Team 91<br/>6.2.2 Mordor 93<br/>6.2.3 CALDERA 94<br/>6.2.4 其他工具 94<br/>6.3 自我测试 95<br/>6.4 小结 97<br/>第三部分 研究环境应用<br/>第7章 创建研究环境 100<br/>7.1 技术要求 100<br/>7.2 设置研究环境 101<br/>7.3 安装VMware ESXI 102<br/>7.3.1 创建虚拟局域网 102<br/>7.3.2 配置防火墙 104<br/>7.4 安装Windows服务器 108<br/>7.5 将Windows服务器配置为域控制器 112<br/>7.5.1 了解活动目录结构 115<br/>7.5.2 使服务器成为域控制器 117<br/>7.5.3 配置DHCP服务器 118<br/>7.5.4 创建组织单元 122<br/>7.5.5 创建用户 123<br/>7.5.6 创建组 125<br/>7.5.7 组策略对象 128<br/>7.5.8 设置审核策略 131<br/>7.5.9 添加新的客户端 136<br/>7.6 设置ELK 139<br/>7.6.1 配置Sysmon 143<br/>7.6.2 获取证书 145<br/>7.7 配置Winlogbeat 146<br/>7.8 额外好处:将Mordor数据集添加到ELK实例 150<br/>7.9 HELK:Roberto Rodriguez的开源工具 150<br/>7.10 小结 153<br/>第8章 查询数据 154<br/>8.1 技术要求 154<br/>8.2 基于Atomic Red Team的原子搜索 154<br/>8.3 Atomic Red Team测试周期 155<br/>8.3.1 初始访问测试 156<br/>8.3.2 执行测试 163<br/>8.3.3 持久化测试 165<br/>8.3.4 权限提升测试 167<br/>8.3.5 防御规避测试 169<br/>8.3.6 发现测试 170<br/>8.3.7 命令与控制测试 171<br/>8.3.8 Invoke-AtomicRedTeam 172<br/>8.4 Quasar RAT 172<br/>8.4.1 Quasar RAT现实案例 173<br/>8.4.2 执行和检测Quasar RAT 174<br/>8.4.3 持久化测试 178<br/>8.4.4 凭据访问测试 180<br/>8.4.5 横向移动测试 181<br/>8.5 小结 182<br/>第9章 猎杀对手 183<br/>9.1 技术要求 183<br/>9.2 MITRE评估 183<br/>9.2.1 将APT29数据集导入HELK 184<br/>9.2.2 猎杀APT29 185<br/>9.3 使用MITRE CALDERA 205<br/>9.3.1 设置CALDERA 205<br/>9.3.2 使用CALDERA执行仿真计划 209<br/>9.4 Sigma规则 218<br/>9.5 小结 221<br/>第10章 记录和自动化流程的重要性 222<br/>10.1 文档的重要性 222<br/>10.1.1 写好文档的关键 222<br/>10.1.2 记录猎杀行动 224<br/>10.2 Threat Hunter Playbook 226<br/>10.3 Jupyter Notebook 228<br/>10.4 更新猎杀过程 228<br/>10.5 自动化的重要性 228<br/>10.6 小结 230<br/>第四部分 交流成功经验<br/>第11章 评估数据质量 232<br/>11.1 技术要求 232<br/>11.2 区分优劣数据 232<br/>11.3 提高数据质量 234<br/>11.3.1 OSSEM Power-up 236<br/>11.3.2 DeTT&CT 237<br/>11.3.3 Sysmon-Modular 238<br/>11.4 小结 239<br/>第12章 理解输出 240<br/>12.1 理解猎杀结果 240<br/>12.2 选择好的分析方法的重要性 243<br/>12.3 自我测试 243<br/>12.4 小结 245<br/>第13章 定义跟踪指标 246<br/>13.1 技术要求 246<br/>13.2 定义良好指标的重要性 246<br/>13.3 如何确定猎杀计划成功 248<br/>13.4 小结 250<br/>第14章 让响应团队参与并做好沟通 253<br/>14.1 让事件响应团队参与进来 253<br/>14.2 沟通对威胁猎杀计划成功与否的影响 255<br/>14.3 自我测试 258<br/>14.4 小结 259<br/>附录 猎杀现状 260
内容摘要
本书主要介绍ATT&CK框架与威胁猎杀。第1部分为基础知识,帮助读者了解如何收集数据以及如何通过开发数据模型来理解数据,以及一些基本的网络和操作系统概念,并介绍一些主要的TH数据源。第2部分介绍如何使用开源工具构建实验室环境,以及如何通过实际例子计划猎杀。结尾讨论如何评估数据质量,记录、定义和选择跟踪指标等方面的内容。<br>
相关推荐
— 没有更多了 —
以下为对购买帮助不大的评价