内容概览

第1章介绍不同类型的威胁之间的区别，如何收集危害指标（Indicators Of Compromise，IOC），以及如何分析收集到的信息。

第2章介绍什么是威胁猎杀，为什么它很重要，以及如何定义猎杀假设。

第3章不仅简要概述威胁猎杀，还介绍计划和设计猎杀计划时可以使用哪些不同的步骤和模型。

第4章介绍上下文，因为要理解收集的信息，我们需要将它放置到适当的上下文中。没有上下文且未经分析的信息不是情报。本章我们将学习如何使用MITRE ATT&CK框架形成情报报告。

第5章介绍创建数据字典的过程，阐述为什么这是威胁猎杀过程的关键部分，以及为什么集中包含终端数据在内的所有数据很关键。

第6章展示如何使用CTI创建威胁行为体仿真计划，并将其与数据驱动的方法相结合来执行猎杀。

第7章介绍如何使用不同的开源工具设置研究环境。我们主要通过创建Windows实验室环境和设置ELK（Elasticsearch，Logstash，Kibana）实例来记录数据。

第8章介绍如何使用Atomic Red Team执行原子猎杀，让你熟悉操作系统和猎杀过程。然后，使用Quasar RAT感染“零号受害者”，演示如何在系统上执行猎杀过程来检测Quasar RAT。

第9章探讨如何将Mordor解决方案集成到ELK/HELK实例中。Mordor项目旨在提供预先记录的事件，模仿威胁行为体的行为。然后，我们使用Mordor APT29数据集加载环境，以APT29 ATT&CK映射为例进行情报驱动的猎杀。最后，使用CALDERA模拟我们自己设计的威胁。

第10章探讨文档。威胁猎杀流程的最后一部分涉及TH流程的记录、自动化和更新。本章还将介绍记录和自动化技巧，这将帮助你把计划提高到一个新的水平。猎杀的自动化是将分析师从反复执行相同猎杀的过程中解放出来的关键，但并不是所有的事情都能够或应当自动化。

第11章讨论评估数据质量的重要性，并利用几个开源工具帮助我们组织和完善数据。

第12章详细介绍在实验室环境之外执行猎杀时可以获得的不同输出，以及如何在需要时改进查询。

第13章分析指标。好的指标应该不仅可以用来评估单个猎杀，还可以用来评估整个猎杀计划是否成功。本章提供了一系列可用来评估猎杀计划成功与否的指标。此外，还将讨论用于TH的MaGMA框架，方便你跟踪结果。

第14章重在强调结果的沟通。成为自己所在领域的专家固然很棒，但如果不善于汇报你的专家行动如何对公司的投资回报产生积极影响，可能就无法走得很远。本章将讨论如何与团队沟通，如何融入事件响应团队，以及如何向上级管理层汇报结果。