●譯者序
前言
作者簡介
審校者簡介
第一部分 網絡威脅情報
第1章 什麼是網絡威脅情報
1.1 網絡威脅情報概述
1.1.1 戰略情報
1.1.2 運營情報
1.1.3 戰術情報
1.2 情報周期
1.2.1 計劃與確定目標
1.2.2 準備與收集
1.2.3 處理與利用
1.2.4 分析與生產
1.2.5 傳播與融合
1.2.6 評價與反饋
1.3 定義情報需求
1.4 收集過程
1.4.1 危害指標
1.4.2 了解惡意軟件
1.4.3 使用公共資源進行收集:OSINT
1.4.4 蜜罐
1.4.5 惡意軟件分析和沙箱
1.5 處理與利用
1.5.1 網絡殺傷鏈
1.5.2 鑽石模型
1.5.3 MITRE ATT&CK框架
1.6 偏見與分析
1.7 小結
第2章 什麼是威脅獵殺
2.1 技術要求
2.2 威脅獵殺的定義
2.2.1 威脅獵殺類型
2.2.2 威脅獵人技能
2.2.3 痛苦金字塔
2.3 威脅獵殺成熟度模型
2.4 威脅獵殺過程
2.4.1 威脅獵殺循環
2.4.2 威脅獵殺模型
2.4.3 數據驅動的方法
2.4.4 集成威脅情報的定向獵殺
2.5 構建假設
2.6 小結
第3章 數據來源
3.1 技術要求
3.2 了解已收集的數據
3.2.1 操作繫統基礎
3.2.2 網絡基礎
3.3 Windows本機工具
3.3.1 Windows Event Viewer
3.3.2 WMI
3.3.3 ETW
3.4 數據源
3.4.1 終端數據
3.4.2 網絡數據
3.4.3 安全數據
3.5 小結
第二部分 理解對手
第4章 映射對手
4.1 技術要求
4.2 ATT&CK框架
4.2.1 戰術、技術、子技術和程序
4.2.2 ATT&CK矩陣
4.2.3 ATT&CK Navigator
4.3 利用ATT&CK進行映射
4.4 自我測試
4.5 小結
第5章 使用數據
5.1 技術要求
5.2 使用數據字典
5.3 使用MITRE CAR
5.4 使用Sigma規則
5.5 小結
第6章 對手仿真
6.1 創建對手仿真計劃
6.1.1 對手仿真的含義
6.1.2 MITRE ATT&CK仿真計劃
6.2 仿真威脅
6.2.1 Atomic Red Team
6.2.2 Mordor
6.2.3 CALDERA
6.2.4 其他工具
6.3 自我測試
6.4 小結
第三部分 研究環境應用
第7章 創建研究環境
7.1 技術要求
7.2 設置研究環境
7.3 安裝VMware ESXI
7.3.1 創建虛擬局域網
7.3.2 配置防火牆
7.4 安裝Windows服務器
7.5 將Windows服務器配置為域控制器
7.5.1 了解活動目錄結構
7.5.2 使服務器成為域控制器
7.5.3 配置DHCP服務器
7.5.4 創建
7.5.5 創建用戶
7.5.6 創建組
7.5.7 組策略對像
7.5.8 設置審核策略
7.5.9 添加新的客戶端
7.6 設置ELK
7.6.1 配置Sysmon
7.6.2 獲取證書
7.7 配置Winlogbeat
7.8 額外好處:將Mordor數據集添加到ELK實例
7.9 HELK:Roberto Rodriguez的開源工具
7.10 小結
第8章 查詢數據
8.1 技術要求
8.2 基於Atomic Red Team的原子搜索
8.3 Atomic Red Team測試周期
8.3.1 初始訪問測試
8.3.2 執行測試
8.3.3 持久化測試
8.3.4 權限提升測試
8.3.5 防御規避測試
8.3.6 發現測試
8.3.7 命令與控制測試
8.3.8 Invoke-AtomicRedTeam
8.4 Quasar RAT
8.4.1 Quasar RAT現實案例
8.4.2 執行和檢測Quasar RAT
8.4.3 持久化測試
8.4.4 憑據訪問測試
8.4.5 橫向移動測試
8.5 小結
第9章 獵殺對手
9.1 技術要求
9.2 MITRE評估
9.2.1 將APT29數據集導入HELK
9.2.2 獵殺APT
9.3 使用MITRE CALDERA
9.3.1 設置CALDERA
9.3.2 使用CALDERA執行仿真計劃
9.4 Sigma規則
9.5 小結
第10章 記錄和自動化流程的重要性
10.1 文檔的重要性
10.1.1 寫好文檔的關鍵
10.1.2 記錄獵殺行動
10.2 Threat Hunter Playbook
10.3 Jupyter Notebook
10.4 更新獵殺過程
10.5 自動化的重要性
10.6 小結
第四部分 交流成功經驗
第11章 評估數據質量
11.1 技術要求
11.2 區分優劣數據
11.3 提高數據質量
11.3.1 OSSEM Power-up
11.3.2 DeTT&CT
11.3.3 Sysmon-Modular
11.4 小結
第12章 理解輸出
12.1 理解獵殺結果
12.2 選擇好的分析方法的重要性
12.3 自我測試
12.4 小結
第13章 定義跟蹤指標
13.1 技術要求
13.2 定義良好指標的重要性
13.3 如何確定獵殺計劃成功
13.4 小結
第14章 讓響應團隊參與並做好溝通
14.1 讓事件響應團隊參與進來
14.2 溝通對威脅獵殺計劃成功與否的影響
14.3 自我測試
14.4 小結
附錄 獵殺現狀