定 價:99 元
叢書名:網(wǎng)絡(luò)空間安全技術(shù)叢書
- 作者:瓦倫蒂娜·科斯塔-加斯孔(ValentinaCosta-Gazcón)
- 出版時間:2022/4/1
- ISBN:9787111703068
- 出 版 社:機械工業(yè)出版社
- 中圖法分類:TP393.08
- 頁碼:
- 紙張:膠版紙
- 版次:
- 開本:16開
本書主要介紹ATT&CK框架與威脅獵殺��。第1部分為基礎(chǔ)知識�����,幫助讀者了解如何收集數(shù)據(jù)以及如何通過開發(fā)數(shù)據(jù)模型來理解數(shù)據(jù)��,以及一些基本的網(wǎng)絡(luò)和操作系統(tǒng)概念,并介紹一些主要的TH數(shù)據(jù)源�。第2部分介紹如何使用開源工具構(gòu)建實驗室環(huán)境,以及如何通過實際例子計劃獵殺��。結(jié)尾討論如何評估數(shù)據(jù)質(zhì)量����,記錄、定義和選擇跟蹤指標(biāo)等方面的內(nèi)容�����。
威脅獵殺是一種假設(shè)對手已經(jīng)在你的環(huán)境中�����,而你必須在其對業(yè)務(wù)造成重大損害之前主動獵殺它們的行為�����。威脅獵殺是關(guān)于主動測試和強化組織防御能力的行動��。本書旨在幫助分析師進行這方面的實踐��。
本書既適合那些初涉網(wǎng)絡(luò)威脅情報(Cyber Threat Intelligence�,CTI)和威脅獵殺(Threat Hunting�,TH)領(lǐng)域的人閱讀�,也適合那些擁有更高級的網(wǎng)絡(luò)安全知識但希望從頭開始實施TH計劃的讀者�����。
本書共分為四部分�����。部分介紹基礎(chǔ)知識�,幫助你了解威脅情報的概念及如何使用它,如何收集數(shù)據(jù)及如何通過開發(fā)數(shù)據(jù)模型來理解數(shù)據(jù)��,還會涉及一些基本的網(wǎng)絡(luò)和操作系統(tǒng)概念��,以及一些主要的TH數(shù)據(jù)源���。第二部分介紹如何理解對手��。第三部分介紹如何使用開源工具針對TH構(gòu)建實驗室環(huán)境���,并通過實際示例介紹如何計劃獵殺。個實踐練習(xí)是利用Atomic Red Team進行的小型原子獵殺�����,之后介紹使用情報驅(qū)動假設(shè)和MITRE ATT&CK框架更深入地研究高級持續(xù)性威脅的獵殺。第四部分主要介紹評估數(shù)據(jù)質(zhì)量��、記錄獵殺���、定義和選擇跟蹤指標(biāo)��、與團隊溝通獵殺計劃以及向高管匯報TH結(jié)果等方面的訣竅和技巧���。
讀者對象
本書面向?qū)H實戰(zhàn)感興趣的讀者,可以指導(dǎo)系統(tǒng)管理員���、計算機工程師和安全專業(yè)人員等向TH實戰(zhàn)邁出步�。
內(nèi)容概覽
第1章介紹不同類型的威脅之間的區(qū)別��,如何收集危害指標(biāo)(Indicators Of Compromise���,IOC)���,以及如何分析收集到的信息。
第2章介紹什么是威脅獵殺�����,為什么它很重要,以及如何定義獵殺假設(shè)�����。
第3章不僅簡要概述威脅獵殺��,還介紹計劃和設(shè)計獵殺計劃時可以使用哪些不同的步驟和模型��。
第4章介紹上下文��,因為要理解收集的信息����,我們需要將它放置到適當(dāng)?shù)纳舷挛闹��。沒有上下文且未經(jīng)分析的信息不是情報���。本章我們將學(xué)習(xí)如何使用MITRE ATT&CK框架形成情報報告���。
第5章介紹創(chuàng)建數(shù)據(jù)字典的過程,闡述為什么這是威脅獵殺過程的關(guān)鍵部分�,以及為什么集中包含終端數(shù)據(jù)在內(nèi)的所有數(shù)據(jù)很關(guān)鍵����。
第6章展示如何使用CTI創(chuàng)建威脅行為體仿真計劃�����,并將其與數(shù)據(jù)驅(qū)動的方法相結(jié)合來執(zhí)行獵殺���。
第7章介紹如何使用不同的開源工具設(shè)置研究環(huán)境���。我們主要通過創(chuàng)建Windows實驗室環(huán)境和設(shè)置ELK(Elasticsearch, Logstash, Kibana)實例來記錄數(shù)據(jù)。
第8章介紹如何使用Atomic Red Team執(zhí)行原子獵殺���,讓你熟悉操作系統(tǒng)和獵殺過程��。然后���,使用Quasar RAT感染“零號受害者”,演示如何在系統(tǒng)上執(zhí)行獵殺過程來檢測Quasar RAT��。
第9章探討如何將Mordor解決方案集成到ELK/HELK實例中����。Mordor項目旨在提供預(yù)先記錄的事件�����,模仿威脅行為體的行為��。然后�,我們使用Mordor APT29數(shù)據(jù)集加載環(huán)境���,以APT29 ATT&CK映射為例進行情報驅(qū)動的獵殺。后���,使用CALDERA模擬我們自己設(shè)計的威脅����。
第10章探討文檔��。威脅獵殺流程的后一部分涉及TH流程的記錄���、自動化和更新�����。本章還將介紹記錄和自動化技巧���,這將幫助你把計劃提高到一個新的水平��。獵殺的自動化是將分析師從反復(fù)執(zhí)行相同獵殺的過程中解放出來的關(guān)鍵��,但并不是所有的事情都能夠或應(yīng)當(dāng)自動化�����。
第11章討論評估數(shù)據(jù)質(zhì)量的重要性�����,并利用幾個開源工具幫助我們組織和完善數(shù)據(jù)�。
第12章詳細介紹在實驗室環(huán)境之外執(zhí)行獵殺時可以獲得的不同輸出�,以及如何在需要時改進查詢。
第13章分析指標(biāo)��。好的指標(biāo)應(yīng)該不僅可以用來評估單個獵殺����,還可以用來評估整個獵殺計劃是否成功。本章提供了一系列可用來評估獵殺計劃成功與否的指標(biāo)��。此外,還將討論用于TH的MaGMA框架�,方便你跟蹤結(jié)果。
第14章重在強調(diào)結(jié)果的溝通��。成為自己所在領(lǐng)域的專家固然很棒����,但如果不善于匯報你的專家行動如何對公司的投資回報產(chǎn)生積極影響,可能就無法走得很遠�����。本章將討論如何與團隊溝通�����,如何融入事件響應(yīng)團隊���,以及如何向上級管理層匯報結(jié)果。
如何充分利用本書
雖然在第7章中為那些無法構(gòu)建自己的服務(wù)器的人提供了替代方案�,但要充分利用本書,你需要有安裝了VMware EXSI的服務(wù)器����。
服務(wù)器要求如下:
4~6核。
16~32 GB RAM��。
50 GB~1 TB。
盡管如此�����,你仍然可以使用ELK/HELK實例和Mordor數(shù)據(jù)集來完成本書中幾乎所有的練習(xí)���。第7章也提到了其他Splunk替代方案�。
本書將基于Mordor數(shù)據(jù)集使用MITRE ATT&CK Evals進行高級獵殺�。
本書涵蓋的軟件/硬件OS需求
PowerShellWindows
Python 3.7Windows, Linux
ELK StackWindows, Linux
Quasar RAT
如果熟悉MITRE ATT&CK企業(yè)矩陣,那么在閱讀本書時你將擁有極大優(yōu)勢�����。
下載彩色圖像
本書中的屏幕截圖及圖表可以從http://www.packtpub.com/sites/default/files/downloads/9781838556372_ColorImages.pdf下載�。
排版約定
本書中使用了許多文本約定。
文本中的代碼體:指示文本中的代碼字�、數(shù)據(jù)庫表名、文件夾名�����、文件名����、文件擴展名�����、路徑名��、用戶輸入和Twitter句柄���。例如:“步是復(fù)制Sigma資源庫,然后從資源庫或通過 pip install sigmatools安裝sigmatools�。”
代碼塊設(shè)置如下:
from attackcti import attack
譯者序
前言
作者簡介
審校者簡介
部分 網(wǎng)絡(luò)威脅情報
第1章 什么是網(wǎng)絡(luò)威脅情報 2
1.1 網(wǎng)絡(luò)威脅情報概述 2
1.1.1 戰(zhàn)略情報 3
1.1.2 運營情報 3
1.1.3 戰(zhàn)術(shù)情報 4
1.2 情報周期 5
1.2.1 計劃與確定目標(biāo) 7
1.2.2 準(zhǔn)備與收集 7
1.2.3 處理與利用 7
1.2.4 分析與生產(chǎn) 7
1.2.5 傳播與融合 7
1.2.6 評價與反饋 7
1.3 定義情報需求 8
1.4 收集過程 9
1.4.1 危害指標(biāo) 10
1.4.2 了解惡意軟件 10
1.4.3 使用公共資源進行收集:OSINT 11
1.4.4 蜜罐 11
1.4.5 惡意軟件分析和沙箱 12
1.5 處理與利用 12
1.5.1 網(wǎng)絡(luò)殺傷鏈 12
1.5.2 鉆石模型 14
1.5.3 MITRE ATT&CK框架 14
1.6 偏見與分析 16
1.7 小結(jié) 16
第2章 什么是威脅獵殺 17
2.1 技術(shù)要求 17
2.2 威脅獵殺的定義 17
2.2.1 威脅獵殺類型 18
2.2.2 威脅獵人技能 19
2.2.3 痛苦金字塔 20
2.3 威脅獵殺成熟度模型 21
2.4 威脅獵殺過程 22
2.4.1 威脅獵殺循環(huán) 22
2.4.2 威脅獵殺模型 23
2.4.3 數(shù)據(jù)驅(qū)動的方法 23
2.4.4 集成威脅情報的定向獵殺 25
2.5 構(gòu)建假設(shè) 28
2.6 小結(jié) 29
第3章 數(shù)據(jù)來源 30
3.1 技術(shù)要求 30
3.2 了解已收集的數(shù)據(jù) 30
3.2.1 操作系統(tǒng)基礎(chǔ) 30
3.2.2 網(wǎng)絡(luò)基礎(chǔ) 33
3.3 Windows本機工具 42
3.3.1 Windows Event Viewer 42
3.3.2 WMI 45
3.3.3 ETW 46
3.4 數(shù)據(jù)源 47
3.4.1 終端數(shù)據(jù) 48
3.4.2 網(wǎng)絡(luò)數(shù)據(jù) 51
3.4.3 安全數(shù)據(jù) 57
3.5 小結(jié) 61
第二部分 理解對手
第4章 映射對手 64
4.1 技術(shù)要求 64
4.2 ATT&CK框架 64
4.2.1 戰(zhàn)術(shù)����、技術(shù)、子技術(shù)和程序 65
4.2.2 ATT&CK矩陣 66
4.2.3 ATT&CK Navigator 68
4.3 利用ATT&CK進行映射 70
4.4 自我測試 73
4.5 小結(jié) 77
第5章 使用數(shù)據(jù) 78
5.1 技術(shù)要求 78
5.2 使用數(shù)據(jù)字典 78
5.3 使用MITRE CAR 82
5.4 使用Sigma規(guī)則 85
5.5 小結(jié) 88
第6章 對手仿真 89
6.1 創(chuàng)建對手仿真計劃 89
6.1.1 對手仿真的含義 89
6.1.2 MITRE ATT&CK仿真計劃 90
6.2?仿真威脅 91
6.2.1 Atomic Red Team 91
6.2.2 Mordor 93
6.2.3 CALDERA 94
6.2.4 其他工具 94
6.3 自我測試 95
6.4 小結(jié) 97
第三部分 研究環(huán)境應(yīng)用
第7章 創(chuàng)建研究環(huán)境 100
7.1 技術(shù)要求 100
7.2 設(shè)置研究環(huán)境 101
7.3 安裝VMware ESXI 102
7.3.1 創(chuàng)建虛擬局域網(wǎng) 102
7.3.2 配置防火墻 104
7.4 安裝Windows服務(wù)器 108
7.5 將Windows服務(wù)器配置為域控制器 112
7.5.1 了解活動目錄結(jié)構(gòu) 115
7.5.2 使服務(wù)器成為域控制器 117
7.5.3 配置DHCP服務(wù)器 118
7.5.4 創(chuàng)建組織單元 122
7.5.5 創(chuàng)建用戶 123
7.5.6 創(chuàng)建組 125
7.5.7 組策略對象 128
7.5.8 設(shè)置審核策略 131
7.5.9 添加新的客戶端 136
7.6 設(shè)置ELK 139
7.6.1 配置Sysmon 143
7.6.2 獲取證書 145
7.7 配置Winlogbeat 146
7.8 額外好處:將Mordor數(shù)據(jù)集添加到ELK實例 150
7.9 HELK:Roberto Rodriguez的開源工具 150
7.10 小結(jié) 153
第8章 查詢數(shù)據(jù) 154
8.1 技術(shù)要求 154
8.2 基于Atomic Red Team的原子搜索 154
8.3 Atomic Red Team測試周期 155
8.3.1 初始訪問測試 156
8.3.2 執(zhí)行測試 163
8.3.3 持久化測試 165
8.3.4 權(quán)限提升測試 167
8.3.5 防御規(guī)避測試 169
8.3.6 發(fā)現(xiàn)測試 170
8.3.7 命令與控制測試 171
8.3.8 Invoke-AtomicRedTeam 172
8.4 Quasar RAT 172
8.4.1 Quasar RAT現(xiàn)實案例 173
8.4.2 執(zhí)行和檢測Quasar RAT 174
8.4.3 持久化測試 178
8.4.4 憑據(jù)訪問測試 180
8.4.5 橫向移動測試 181
8.5 小結(jié) 182
第9章 獵殺對手 183
9.1 技術(shù)要求 183
9.2 MITRE評估 183
9.2.1 將APT29數(shù)據(jù)集導(dǎo)入HELK 184
9.2.2 獵殺APT29 185
9.3 使用MITRE CALDERA 205
9.3.1 設(shè)置CALDERA 205
9.3.2 使用CALDERA執(zhí)行仿真計劃 209
9.4 Sigma規(guī)則 218
9.5 小結(jié) 221
第10章 記錄和自動化流程的重要性 222
10.1 文檔的重要性 222
10.1.1 寫好文檔的關(guān)鍵 222
10.1.2 記錄獵殺行動 224
10.2 Threat Hunter Playbook 226
10.3 Jupyter Notebook 228
10.4 更新獵殺過程 228
10.5 自動化的重要性 228
10.6 小結(jié) 230
第四部分 交流成功經(jīng)驗
第11章 評估數(shù)據(jù)質(zhì)量 232
11.1 技術(shù)要求 232
11.2 區(qū)分優(yōu)劣數(shù)據(jù) 232
11.3 提高數(shù)據(jù)質(zhì)量 234
11.3.1 OSSEM Power-up 236
11.3.2 DeTT&CT 237
11.3.3 Sysmon-Modular 238
11.4 小結(jié) 239
第12章 理解輸出 240
12.1 理解獵殺結(jié)果 240
12.2 選擇好的分析方法的重要性 243
12.3 自我測試 243
12.4 小結(jié) 245
第13章 定義跟蹤指標(biāo) 246
13.1 技術(shù)要求 246
13.2 定義良好指標(biāo)的重要性 246
13.3 如何確定獵殺計劃成功 248
13.4 小結(jié) 250
第14章 讓響應(yīng)團隊參與并做好溝通 253
14.1 讓事件響應(yīng)團隊參與進來 253
14.2 溝通對威脅獵殺計劃成功與否的影響 255
14.3 自我測試 258
14.4 小結(jié) 259
附錄 獵殺現(xiàn)狀 260
書單推薦
