更新时间:2022-04-24 09:42:47
封面
版权页
推荐语
译者序
前言
读者对象
内容概览
如何充分利用本书
下载彩色图像
排版约定
作者简介
主要译者简介
审校者简介
第一部分 网络威胁情报
第1章 什么是网络威胁情报
1.1 网络威胁情报概述
1.2 情报周期
1.3 定义情报需求
1.4 收集过程
1.5 处理与利用
1.6 偏见与分析
1.7 小结
第2章 什么是威胁猎杀
2.1 技术要求
2.2 威胁猎杀的定义
2.3 威胁猎杀成熟度模型
2.4 威胁猎杀过程
2.5 构建假设
2.6 小结
第3章 数据来源
3.1 技术要求
3.2 了解已收集的数据
3.3 Windows本机工具
3.4 数据源
3.5 小结
第二部分 理解对手
第4章 映射对手
4.1 技术要求
4.2 ATT&CK框架
4.3 利用ATT&CK进行映射
4.4 自我测试
4.5 小结
第5章 使用数据
5.1 技术要求
5.2 使用数据字典
5.3 使用MITRE CAR
5.4 使用Sigma规则
5.5 小结
第6章 对手仿真
6.1 创建对手仿真计划
6.2 仿真威胁
6.3 自我测试
6.4 小结
第三部分 研究环境应用
第7章 创建研究环境
7.1 技术要求
7.2 设置研究环境
7.3 安装VMware ESXI
7.4 安装Windows服务器
7.5 将Windows服务器配置为域控制器
7.6 设置ELK
7.7 配置Winlogbeat
7.8 额外好处:将Mordor数据集添加到ELK实例
7.9 HELK:Roberto Rodriguez的开源工具
7.10 小结
第8章 查询数据
8.1 技术要求
8.2 基于Atomic Red Team的原子搜索
8.3 Atomic Red Team测试周期
8.4 Quasar RAT
8.5 小结
第9章 猎杀对手
9.1 技术要求
9.2 MITRE评估
9.3 使用MITRE CALDERA
9.4 Sigma规则
9.5 小结
第10章 记录和自动化流程的重要性
10.1 文档的重要性
10.2 Threat Hunter Playbook
10.3 Jupyter Notebook
10.4 更新猎杀过程
10.5 自动化的重要性
10.6 小结
第四部分 交流成功经验
第11章 评估数据质量
11.1 技术要求
11.2 区分优劣数据
11.3 提高数据质量
11.4 小结
第12章 理解输出
12.1 理解猎杀结果
12.2 选择好的分析方法的重要性
12.3 自我测试
12.4 小结
第13章 定义跟踪指标
13.1 技术要求
13.2 定义良好指标的重要性
13.3 如何确定猎杀计划成功
13.4 小结
