作者:瓦伦蒂娜·科斯塔-加斯孔(Valenti
页数:276
出版社:机械工业出版社
出版日期:2022
ISBN:9787111703068
电子书格式:pdf/epub/txt
内容简介
本书主要介绍ATT&CK框架与威胁猎杀。第1部分为基础知识,帮助读者了解如何收集数据以及如何通过开发数据模型来理解数据,以及一些基本的网络和操作系统概念,并介绍一些主要的TH数据源。第2部分介绍如何使用开源工具构建实验室环境,以及如何通过实际例子计划猎杀。结尾讨论如何评估数据质量,记录、定义和选择跟踪指标等方面的内容。
作者简介
瓦伦蒂娜·科斯塔-加斯孔(Valentina Costa-Gazcón),资深网络威胁情报分析师,专门跟踪优选不错持续性威胁(APT),常使用MITREATT&CK框架分析其工具以及战术、技术和程序(TTP)。她是BlueSpace社区(BlueSpaceSec)的创始人之一,也是RobertoRodriguez创立的开放式威胁研究(Open ThreatResearch,OTR_Community)的核心成员。
本书特色
360天枢智库团队领衔翻译,重量级实战专家倾情推荐。基于ATT&CK框架与开源工具,让高级持续性威胁无处藏身
目录
译者序
前言
作者简介
审校者简介
第一部分 网络威胁情报
第1章 什么是网络威胁情报 2
1.1 网络威胁情报概述 2
1.1.1 战略情报 3
1.1.2 运营情报 3
1.1.3 战术情报 4
1.2 情报周期 5
1.2.1 计划与确定目标 7
1.2.2 准备与收集 7
1.2.3 处理与利用 7
1.2.4 分析与生产 7
1.2.5 传播与融合 7
1.2.6 评价与反馈 7
1.3 定义情报需求 8
1.4 收集过程 9
1.4.1 危害指标 10
1.4.2 了解恶意软件 10
1.4.3 使用公共资源进行收集:OSINT 11
1.4.4 蜜罐 11
1.4.5 恶意软件分析和沙箱 12
1.5 处理与利用 12
1.5.1 网络杀伤链 12
1.5.2 钻石模型 14
1.5.3 MITRE ATT&CK框架 14
1.6 偏见与分析 16
1.7 小结 16
第2章 什么是威胁猎杀 17
2.1 技术要求 17
2.2 威胁猎杀的定义 17
2.2.1 威胁猎杀类型 18
2.2.2 威胁猎人技能 19
2.2.3 痛苦金字塔 20
2.3 威胁猎杀成熟度模型 21
2.4 威胁猎杀过程 22
2.4.1 威胁猎杀循环 22
2.4.2 威胁猎杀模型 23
2.4.3 数据驱动的方法 23
2.4.4 集成威胁情报的定向猎杀 25
2.5 构建假设 28
2.6 小结 29
第3章 数据来源 30
3.1 技术要求 30
3.2 了解已收集的数据 30
3.2.1 操作系统基础 30
3.2.2 网络基础 33
3.3 Windows本机工具 42
3.3.1 Windows Event Viewer 42
3.3.2 WMI 45
3.3.3 ETW 46
3.4 数据源 47
3.4.1 终端数据 48
3.4.2 网络数据 51
3.4.3 安全数据 57
3.5 小结 61
第二部分 理解对手
第4章 映射对手 64
4.1 技术要求 64
4.2 ATT&CK框架 64
4.2.1 战术、技术、子技术和程序 65
4.2.2 ATT&CK矩阵 66
4.2.3 ATT&CK Navigator 68
4.3 利用ATT&CK进行映射 70
4.4 自我测试 73
4.5 小结 77
第5章 使用数据 78
5.1 技术要求 78
5.2 使用数据字典 78
5.3 使用MITRE CAR 82
5.4 使用Sigma规则 85
5.5 小结 88
第6章 对手仿真 89
6.1 创建对手仿真计划 89
6.1.1 对手仿真的含义 89
6.1.2 MITRE ATT&CK仿真计划 90
6.2?仿真威胁 91
6.2.1 Atomic Red Team 91
6.2.2 Mordor 93
6.2.3 CALDERA 94
6.2.4 其他工具 94
6.3 自我测试 95
6.4 小结 97
第三部分 研究环境应用
第7章 创建研究环境 100
7.1 技术要求 100
7.2 设置研究环境 101
7.3 安装VMware ESXI 102
7.3.1 创建虚拟局域网 102
7.3.2 配置防火墙 104
7.4 安装Windows服务器 108
7.5 将Windows服务器配置为域控制器 112
7.5.1 了解活动目录结构 115
7.5.2 使服务器成为域控制器 117
7.5.3 配置DHCP服务器 118
7.5.4 创建组织单元 122
7.5.5 创建用户 123
7.5.6 创建组 125
7.5.7 组策略对象 128
7.5.8 设置审核策略 131
7.5.9 添加新的客户端 136
7.6 设置ELK 139
7.6.1 配置Sysmon 143
7.6.2 获取证书 145
7.7 配置Winlogbeat 146
7.8 额外好处:将Mordor数据集添加到ELK实例 150
7.9 HELK:Roberto Rodriguez的开源工具 150
7.10 小结 153
第8章 查询数据 154
8.1 技术要求 154
8.2 基于Atomic Red Team的原子搜索 154
8.3 Atomic Red Team测试周期 155
8.3.1 初始访问测试 156
8.3.2 执行测试 163
8.3.3 持久化测试 165
8.3.4 权限提升测试 167
8.3.5 防御规避测试 169
8.3.6 发现测试 170
8.3.7 命令与控制测试 171
8.3.8 Invoke-AtomicRedTeam 172
8.4 Quasar RAT 172
8.4.1 Quasar RAT现实案例 173
8.4.2 执行和检测Quasar RAT 174
8.4.3 持久化测试 178
8.4.4 凭据访问测试 180
8.4.5 横向移动测试 181
8.5 小结 182
第9章 猎杀对手 183
9.1 技术要求 183
9.2 MITRE评估 183
9.2.1 将APT29数据集导入HELK 184
9.2.2 猎杀APT29 185
9.3 使用MITRE CALDERA 205
9.3.1 设置CALDERA 205
9.3.2 使用CALDERA执行仿真计划 209
9.4 Sigma规则 218
9.5 小结 221
第10章 记录和自动化流程的重要性 222
10.1 文档的重要性 222
10.1.1 写好文档的关键 222
10.1.2 记录猎杀行动 224
10.2 Threat Hunter Playbook 226
10.3 Jupyter Notebook 228
10.4 更新猎杀过程 228
10.5 自动化的重要性 228
10.6 小结 230
第四部分 交流成功经验
第11章 评估数据质量 232
11.1 技术要求 232
11.2 区分优劣数据 232
11.3 提高数据质量 234
11.3.1 OSSEM Power-up 236
11.3.2 DeTT&CT 237
11.3.3 Sysmon-Modular 238
11.4 小结 239
第12章 理解输出 240
12.1 理解猎杀结果 240
12.2 选择好的分析方法的重要性 243
12.3 自我测试 243
12.4 小结 245
第13章 定义跟踪指标 246
13.1 技术要求 246
13.2 定义良好指标的重要性 246
13.3 如何确定猎杀计划成功 248
13.4 小结 250
第14章 让响应团队参与并做好沟通 253
14.1 让事件响应团队参与进来 253
14.2 沟通对威胁猎杀计划成功与否的影响 255
14.3 自我测试 258
14.4 小结 259
附录 猎杀现状 260
前言
作者简介
审校者简介
第一部分 网络威胁情报
第1章 什么是网络威胁情报 2
1.1 网络威胁情报概述 2
1.1.1 战略情报 3
1.1.2 运营情报 3
1.1.3 战术情报 4
1.2 情报周期 5
1.2.1 计划与确定目标 7
1.2.2 准备与收集 7
1.2.3 处理与利用 7
1.2.4 分析与生产 7
1.2.5 传播与融合 7
1.2.6 评价与反馈 7
1.3 定义情报需求 8
1.4 收集过程 9
1.4.1 危害指标 10
1.4.2 了解恶意软件 10
1.4.3 使用公共资源进行收集:OSINT 11
1.4.4 蜜罐 11
1.4.5 恶意软件分析和沙箱 12
1.5 处理与利用 12
1.5.1 网络杀伤链 12
1.5.2 钻石模型 14
1.5.3 MITRE ATT&CK框架 14
1.6 偏见与分析 16
1.7 小结 16
第2章 什么是威胁猎杀 17
2.1 技术要求 17
2.2 威胁猎杀的定义 17
2.2.1 威胁猎杀类型 18
2.2.2 威胁猎人技能 19
2.2.3 痛苦金字塔 20
2.3 威胁猎杀成熟度模型 21
2.4 威胁猎杀过程 22
2.4.1 威胁猎杀循环 22
2.4.2 威胁猎杀模型 23
2.4.3 数据驱动的方法 23
2.4.4 集成威胁情报的定向猎杀 25
2.5 构建假设 28
2.6 小结 29
第3章 数据来源 30
3.1 技术要求 30
3.2 了解已收集的数据 30
3.2.1 操作系统基础 30
3.2.2 网络基础 33
3.3 Windows本机工具 42
3.3.1 Windows Event Viewer 42
3.3.2 WMI 45
3.3.3 ETW 46
3.4 数据源 47
3.4.1 终端数据 48
3.4.2 网络数据 51
3.4.3 安全数据 57
3.5 小结 61
第二部分 理解对手
第4章 映射对手 64
4.1 技术要求 64
4.2 ATT&CK框架 64
4.2.1 战术、技术、子技术和程序 65
4.2.2 ATT&CK矩阵 66
4.2.3 ATT&CK Navigator 68
4.3 利用ATT&CK进行映射 70
4.4 自我测试 73
4.5 小结 77
第5章 使用数据 78
5.1 技术要求 78
5.2 使用数据字典 78
5.3 使用MITRE CAR 82
5.4 使用Sigma规则 85
5.5 小结 88
第6章 对手仿真 89
6.1 创建对手仿真计划 89
6.1.1 对手仿真的含义 89
6.1.2 MITRE ATT&CK仿真计划 90
6.2?仿真威胁 91
6.2.1 Atomic Red Team 91
6.2.2 Mordor 93
6.2.3 CALDERA 94
6.2.4 其他工具 94
6.3 自我测试 95
6.4 小结 97
第三部分 研究环境应用
第7章 创建研究环境 100
7.1 技术要求 100
7.2 设置研究环境 101
7.3 安装VMware ESXI 102
7.3.1 创建虚拟局域网 102
7.3.2 配置防火墙 104
7.4 安装Windows服务器 108
7.5 将Windows服务器配置为域控制器 112
7.5.1 了解活动目录结构 115
7.5.2 使服务器成为域控制器 117
7.5.3 配置DHCP服务器 118
7.5.4 创建组织单元 122
7.5.5 创建用户 123
7.5.6 创建组 125
7.5.7 组策略对象 128
7.5.8 设置审核策略 131
7.5.9 添加新的客户端 136
7.6 设置ELK 139
7.6.1 配置Sysmon 143
7.6.2 获取证书 145
7.7 配置Winlogbeat 146
7.8 额外好处:将Mordor数据集添加到ELK实例 150
7.9 HELK:Roberto Rodriguez的开源工具 150
7.10 小结 153
第8章 查询数据 154
8.1 技术要求 154
8.2 基于Atomic Red Team的原子搜索 154
8.3 Atomic Red Team测试周期 155
8.3.1 初始访问测试 156
8.3.2 执行测试 163
8.3.3 持久化测试 165
8.3.4 权限提升测试 167
8.3.5 防御规避测试 169
8.3.6 发现测试 170
8.3.7 命令与控制测试 171
8.3.8 Invoke-AtomicRedTeam 172
8.4 Quasar RAT 172
8.4.1 Quasar RAT现实案例 173
8.4.2 执行和检测Quasar RAT 174
8.4.3 持久化测试 178
8.4.4 凭据访问测试 180
8.4.5 横向移动测试 181
8.5 小结 182
第9章 猎杀对手 183
9.1 技术要求 183
9.2 MITRE评估 183
9.2.1 将APT29数据集导入HELK 184
9.2.2 猎杀APT29 185
9.3 使用MITRE CALDERA 205
9.3.1 设置CALDERA 205
9.3.2 使用CALDERA执行仿真计划 209
9.4 Sigma规则 218
9.5 小结 221
第10章 记录和自动化流程的重要性 222
10.1 文档的重要性 222
10.1.1 写好文档的关键 222
10.1.2 记录猎杀行动 224
10.2 Threat Hunter Playbook 226
10.3 Jupyter Notebook 228
10.4 更新猎杀过程 228
10.5 自动化的重要性 228
10.6 小结 230
第四部分 交流成功经验
第11章 评估数据质量 232
11.1 技术要求 232
11.2 区分优劣数据 232
11.3 提高数据质量 234
11.3.1 OSSEM Power-up 236
11.3.2 DeTT&CT 237
11.3.3 Sysmon-Modular 238
11.4 小结 239
第12章 理解输出 240
12.1 理解猎杀结果 240
12.2 选择好的分析方法的重要性 243
12.3 自我测试 243
12.4 小结 245
第13章 定义跟踪指标 246
13.1 技术要求 246
13.2 定义良好指标的重要性 246
13.3 如何确定猎杀计划成功 248
13.4 小结 250
第14章 让响应团队参与并做好沟通 253
14.1 让事件响应团队参与进来 253
14.2 沟通对威胁猎杀计划成功与否的影响 255
14.3 自我测试 258
14.4 小结 259
附录 猎杀现状 260
