前言

威胁猎杀是一种假设对手已经在你的环境中，而你必须在其对业务造成重大损害之前主动猎杀它们的行为。威胁猎杀是关于主动测试和强化组织防御能力的行动。本书旨在帮助分析师进行这方面的实践。

本书既适合那些初涉网络威胁情报（Cyber Threat Intelligence，CTI）和威胁猎杀（Threat Hunting，TH）领域的人阅读，也适合那些拥有更高级的网络安全知识但希望从头开始实施TH计划的读者。

本书共分为四部分。第一部分介绍基础知识，帮助你了解威胁情报的概念及如何使用它，如何收集数据及如何通过开发数据模型来理解数据，还会涉及一些基本的网络和操作系统概念，以及一些主要的TH数据源。第二部分介绍如何理解对手。第三部分介绍如何使用开源工具针对TH构建实验室环境，并通过实际示例介绍如何计划猎杀。第一个实践练习是利用Atomic Red Team进行的小型原子猎杀，之后介绍使用情报驱动假设和MITRE ATT&CK框架更深入地研究高级持续性威胁的猎杀。第四部分主要介绍评估数据质量、记录猎杀、定义和选择跟踪指标、与团队沟通猎杀计划以及向高管汇报TH结果等方面的诀窍和技巧。