ATT&CK与威胁猎杀实战

作品简介

本书主要介绍ATT&CK框架与威胁猎杀。第1部分为基础知识，帮助读者了解如何收集数据以及如何通过开发数据模型来理解数据，以及一些基本的网络和操作系统概念，并介绍一些主要的TH数据源。第2部分介绍如何使用开源工具构建实验室环境，以及如何通过实际例子计划猎杀。结尾讨论如何评估数据质量，记录、定义和选择跟踪指标等方面的内容。

瓦伦蒂娜·科斯塔–加斯孔，是一名网络威胁情报分析师，也是一名自学成才的开发者和威胁猎人，专门跟踪全球高级持续性威胁（Advanced Persistent Threat，APT），常使用MITRE ATT&CK框架分析其工具及战术、技术和程序（Tactics，Techniques，Procedures，TTP）。她拥有马拉加大学的笔译和口译专业学位，以及阿根廷国家技术大学的网络安全文凭，是BlueSpace社区（BlueSpaceSec）的创始人之一，也是Roberto Rodriguez创立的开放式威胁研究（Open Threat Research，OTR_Community）的核心成员之一。

作品目录

• 推荐语
• 译者序
• 前言
• 作者简介
• 主要译者简介
• 审校者简介
• 第一部分　网络威胁情报
• 第1章　什么是网络威胁情报
• 1.1　网络威胁情报概述
• 1.2　情报周期
• 1.3　定义情报需求
• 1.4　收集过程
• 1.5　处理与利用
• 1.6　偏见与分析
• 1.7　小结
• 第2章　什么是威胁猎杀
• 2.1　技术要求
• 2.2　威胁猎杀的定义
• 2.3　威胁猎杀成熟度模型
• 2.4　威胁猎杀过程
• 2.5　构建假设
• 2.6　小结
• 第3章　数据来源
• 3.1　技术要求
• 3.2　了解已收集的数据
• 3.3　Windows本机工具
• 3.4　数据源
• 3.5　小结
• 第二部分　理解对手
• 第4章　映射对手
• 4.1　技术要求
• 4.2　ATT&CK框架
• 4.3　利用ATT&CK进行映射
• 4.4　自我测试
• 4.5　小结
• 第5章　使用数据
• 5.1　技术要求
• 5.2　使用数据字典
• 5.3　使用MITRE CAR
• 5.4　使用Sigma规则
• 5.5　小结
• 第6章　对手仿真
• 6.1　创建对手仿真计划
• 6.2　仿真威胁
• 6.3　自我测试
• 6.4　小结
• 第三部分　研究环境应用
• 第7章　创建研究环境
• 7.1　技术要求
• 7.2　设置研究环境
• 7.3　安装VMware ESXI
• 7.4　安装Windows服务器
• 7.5　将Windows服务器配置为域控制器
• 7.6　设置ELK
• 7.7　配置Winlogbeat
• 7.8　额外好处：将Mordor数据集添加到ELK实例
• 7.9　HELK：Roberto Rodriguez的开源工具
• 7.10　小结
• 第8章　查询数据
• 8.1　技术要求
• 8.2　基于Atomic Red Team的原子搜索
• 8.3　Atomic Red Team测试周期
• 8.4　Quasar RAT
• 8.5　小结
• 第9章　猎杀对手
• 9.1　技术要求
• 9.2　MITRE评估
• 9.3　使用MITRE CALDERA
• 9.4　Sigma规则
• 9.5　小结
• 第10章　记录和自动化流程的重要性
• 10.1　文档的重要性
• 10.2　Threat Hunter Playbook
• 10.3　Jupyter Notebook
• 10.4　更新猎杀过程
• 10.5　自动化的重要性
• 10.6　小结
• 第四部分　交流成功经验
• 第11章　评估数据质量
• 11.1　技术要求
• 11.2　区分优劣数据
• 11.3　提高数据质量
• 11.4　小结
• 第12章　理解输出
• 12.1　理解猎杀结果
• 12.2　选择好的分析方法的重要性
• 12.3　自我测试
• 12.4　小结
• 第13章　定义跟踪指标
• 13.1　技术要求
• 13.2　定义良好指标的重要性
• 13.3　如何确定猎杀计划成功
• 13.4　小结
• 第14章　让响应团队参与并做好沟通
• 14.1　让事件响应团队参与进来
• 14.2　沟通对威胁猎杀计划成功与否的影响
• 14.3　自我测试
• 14.4　小结
• 附录　猎杀现状