(1)作者背景权威:奇安信集团资深网络安全专家领衔撰写,奇安信是中国网络安全领域头部企业,行业影响力深远。 (2)作者经验丰富:第一作者林宝晶从事网络安全工作20余年,在网络实战攻防演习、安全运营、数据安全等领域积累深厚。 (3)理论与实践并重:系统讲解Sqrrl、Endgame、基于TTP的3大威胁狩猎模型,并配套3个真实企业级实践案例。 (4)主动防御新理念:跳出传统被动防御框架,帮助安全从业者从“响应者”转型为“主动防御者”,构建结构化狩猎流程。
售 价:¥
纸质售价:¥64.10购买纸书
6.4
温馨提示:数字商品不支持退换货,不提供源文件,不支持导出打印
为你推荐
前折页
书名页
版权
前言
第一部分 威胁狩猎原理
第1章 什么是威胁狩猎
1.1 威胁狩猎不是什么
1.1.1 威胁狩猎不是应急响应
1.1.2 威胁狩猎不是事件分析
1.1.3 威胁狩猎不是攻击模拟
1.2 威胁狩猎的概念
1.3 威胁狩猎的特征
1.3.1 主动
1.3.2 假设驱动
1.3.3 发现
1.3.4 入侵痕迹和攻击行动
1.4 为什么需要威胁狩猎
1.4.1 安全产品的局限性
1.4.2 高级攻击手段层出不穷
1.4.3 缩短攻击者的内网驻留时间
1.4.4 内部失陷环境感知能力不足
1.5 威胁狩猎的内涵
1.6 威胁狩猎的认识误区
1.7 本章小结
第2章 Sqrrl威胁狩猎环
2.1 Sqrrl威胁狩猎环模型简介
2.2 创建假设
2.2.1 基于威胁情报创建假设
2.2.2 基于态势感知创建假设
2.2.3 基于领域知识创建假设
2.3 通过工具与技术手段开展调查
2.4 发现新威胁或者攻击TTP
2.5 通知协作并提高自动化分析水平
2.6 增强型Sqrrl威胁狩猎环
2.7 本章小结
第3章 Endgame威胁狩猎环
3.1 Endgame威胁狩猎环概述
3.2 调查阶段
3.2.1 选择资产
3.2.2 监控资产
3.3 加固阶段
3.4 检测阶段
3.4.1 检测攻击
3.4.2 分析
3.5 响应阶段
3.5.1 清除攻击
3.5.2 威胁狩猎报告
3.6 本章小结
第4章 基于TTP的威胁狩猎
4.1 基于TTP的威胁狩猎概述
4.1.1 理解TTP
4.1.2 分析空间
4.1.3 检测方法
4.1.4 数据类型
4.2 模型介绍
4.2.1 恶意行为特征化
4.2.2 过滤
4.2.3 威胁狩猎执行
4.2.4 报告
4.3 本章小结
第二部分 威胁狩猎实践
第5章 威胁狩猎数据源与分析方法
5.1 确定数据源
5.2 网络数据源
5.2.1 防火墙日志
5.2.2 NAT日志
5.2.3 NIDS/IPS日志
5.2.4 WAF日志
5.2.5 流量威胁检测系统
5.3 终端/主机数据
5.3.1 终端防病毒日志
5.3.2 EDR数据
5.4 应用安全数据
5.4.1 邮件安全网关
5.4.2 准入系统日志
5.4.3 DHCP日志
5.4.4 DNS日志
5.5 威胁狩猎分析方法
5.5.1 搜索
5.5.2 聚类
5.5.3 分组
5.5.4 堆叠
5.6 本章小结
第6章 Endgame威胁狩猎环实践
6.1 案例背景
6.2 准备
6.2.1 资产选择
6.2.2 回顾有效的IT资产和网络信息
6.2.3 理解网络中的正常行为
6.2.4 配置和部署威胁狩猎探针
6.3 调查
6.3.1 调查范围确定
6.3.2 采集并分析数据
6.3.3 扩展调查
6.3.4 重新调整威胁狩猎优先级
6.4 攻击者移除
6.5 威胁狩猎报告
6.5.1 威胁狩猎行动概要
6.5.2 编写威胁狩猎报告
6.6 本章小结
第7章 Sqrrl威胁狩猎环实践
7.1 案例背景
7.2 创建假设
7.3 开展调查
7.3.1 在主机上发现异常的命令执行
7.3.2 在流量数据中找到内存马
7.4 攻击特征提取
7.5 自动化分析
7.6 本章小结
第8章 基于TTP的威胁狩猎环实践
8.1 常见的基于TTP的威胁狩猎方法
8.1.1 针对执行阶段的威胁狩猎方法
8.1.2 针对命令与控制阶段的威胁狩猎方法
8.1.3 针对横向移动阶段的威胁狩猎方法
8.1.4 针对数据渗出阶段的威胁狩猎方法
8.2 基于TTP的威胁狩猎完整案例
8.2.1 案例背景
8.2.2 基于情报收集数据
8.2.3 检测恶意行为与调查
8.2.4 发现新特征和TTP
8.3 本章小结
后记
附录
后折页
买过这本书的人还买过
读了这本书的人还在读
同类图书排行榜
购物车
个人中心
