《ATT&CK与威胁猎杀实战》内容简介

本书主要介绍ATT&CK框架与威胁猎杀。第1部分为基础知识，帮助读者了解如何收集数据以及如何通过开发数据模型来理解数据，以及一些基本的网络和操作系统概念，并介绍一些主要的TH数据源。第2部分介绍如何使用开源工具构建实验室环境，以及如何通过实际例子计划猎杀。结尾讨论如何评估数据质量，记录、定义和选择跟踪指标等方面的内容。
瓦伦蒂娜·科斯塔–加斯孔，是一名网络威胁情报分析师，也是一名自学成才的开发者和威胁猎人，专门跟踪全球高级持续性威胁（Advanced Persistent Threat，APT），常使用MITRE ATT&CK框架分析其工具及战术、技术和程序（Tactics，Techniques，Procedures，TTP）。她拥有马拉加大学的笔译和口译专业学位，以及阿根廷国家技术大学的网络安全文凭，是BlueSpace社区（BlueSpaceSec）的创始人之一，也是Roberto Rodriguez创立的开放式威胁研究（Open Threat Research，OTR_Community）的核心成员之一。

作品目录

推荐语
译者序
前言
作者简介
主要译者简介
审校者简介
第一部分
网络威胁情报
第1章：什么是网络威胁情报
1.1、网络威胁情报概述
1.2、情报周期
1.3、定义情报需求
1.4、收集过程
1.5、处理与利用
1.6、偏见与分析
1.7、小结
第2章：什么是威胁猎杀
2.1、技术要求
2.2、威胁猎杀的定义
2.3、威胁猎杀成熟度模型
2.4、威胁猎杀过程
2.5、构建假设
2.6、小结
第3章：数据来源
3.1、技术要求
3.2、了解已收集的数据
3.3、Windows本机工具
3.4、数据源
3.5、小结
第二部分
理解对手
第4章：映射对手
4.1、技术要求
4.2、ATT&CK框架
4.3、利用ATT&CK进行映射
4.4、自我测试
4.5、小结
第5章：使用数据
5.1、技术要求
5.2、使用数据字典
5.3、使用MITRE
CAR
5.4、使用Sigma规则
5.5、小结
第6章：对手仿真
6.1、创建对手仿真计划
6.2、仿真威胁
6.3、自我测试
6.4、小结
第三部分
研究环境应用
第7章：创建研究环境
7.1、技术要求
7.2、设置研究环境
7.3、安装VMware
ESXI
7.4、安装Windows服务器
7.5、将Windows服务器配置为域控制器
7.6、设置ELK
7.7、配置Winlogbeat
7.8、额外好处：将Mordor数据集添加到ELK实例
7.9、HELK：Roberto
Rodriguez的开源工具
7.10、小结
第8章：查询数据
8.1、技术要求
8.2、基于Atomic
Red
Team的原子搜索
8.3、Atomic
Red
Team测试周期
8.4、Quasar
RAT
8.5、小结
第9章：猎杀对手
9.1、技术要求
9.2、MITRE评估
9.3、使用MITRE
CALDERA
9.4、Sigma规则
9.5、小结
第10章：记录和自动化流程的重要性
10.1、文档的重要性
10.2、Threat
Hunter
Playbook
10.3、Jupyter
Notebook
10.4、更新猎杀过程
10.5、自动化的重要性
10.6、小结
第四部分
交流成功经验
第11章：评估数据质量
11.1、技术要求
11.2、区分优劣数据
11.3、提高数据质量
11.4、小结
第12章：理解输出
12.1、理解猎杀结果
12.2、选择好的分析方法的重要性
12.3、自我测试
12.4、小结
第13章：定义跟踪指标
13.1、技术要求
13.2、定义良好指标的重要性
13.3、如何确定猎杀计划成功
13.4、小结
第14章：让响应团队参与并做好沟通
14.1、让事件响应团队参与进来
14.2、沟通对威胁猎杀计划成功与否的影响
14.3、自我测试
14.4、小结
附录
猎杀现状