音像ATT(西)瓦伦蒂娜·科斯塔-加斯孔

译者序<br/>前言<br/>作者简介<br/>审校者简介<br/>部　网络威胁情报<br/>章　什么是网络威胁情报 2<br/>1.1　网络威胁情报概述 2<br/>1.1.1　战略情报 3<br/>1.1.2　运营情报 3<br/>1.1.3　战术情报 4<br/>1.2　情报周期 5<br/>1.2.1　计划与确定目标 7<br/>1.2.2　准备与收集 7<br/>1..　处理与利用 7<br/>1.2.4　分析与生产 7<br/>1.2.5　传播与融合 7<br/>1.2.6　评价与反馈 7<br/>1.3　定义情报需求 8<br/>1.4　收集过程 9<br/>1.4.1　危害指标 10<br/>1.4.2　了解恶意软件 10<br/>1.4.3　使用公共资源进行收集：OSINT 11<br/>1.4.4　蜜罐 11<br/>1.4.5　恶意软件分析和沙箱 12<br/>1.5　处理与利用 12<br/>1.5.1　网络杀伤链 12<br/>1.5.2　钻石模型 14<br/>1.5.3　MITRE ATT&CK框架 14<br/>1.6　偏见与分析 16<br/>1.7　小结 16<br/>第2章　什么是威胁猎杀 17<br/>2.1　技术要求 17<br/>2.2　威胁猎杀的定义 17<br/>2.2.1　威胁猎杀类型 18<br/>2.2.2　威胁猎人技能 19<br/>2..　痛苦金字塔 20<br/>.　威胁猎杀成熟度模型 21<br/>2.4　威胁猎杀过程 22<br/>2.4.1　威胁猎杀循环 22<br/>2.4.2　威胁猎杀模型 <br/>2.4.3　数据驱动的方法 <br/>2.4.4　集成威胁情报的定向猎杀 25<br/>2.5　构建设 28<br/>2.6　小结 29<br/>第3章　数据来源 30<br/>3.1　技术要求 30<br/>3.2　了解已收集的数据 30<br/>3.2.1　操作系统基础 30<br/>3.2.2　网络基础 33<br/>3.3　Windows本机工具 42<br/>3.3.1　Windows Event Viewer 42<br/>3.3.2　WMI 45<br/>3.3.3　ETW 46<br/>3.4　数据源 47<br/>3.4.1　终端数据 48<br/>3.4.2　网络数据 51<br/>3.4.3　安全数据 57<br/>3.5　小结 61<br/>第二部分　理解对手<br/>第4章　映对手 64<br/>4.1　技术要求 64<br/>4.2　ATT&CK框架 64<br/>4.2.1　战术、技术、子技术和程序 65<br/>4.2.2　ATT&CK矩阵 66<br/>4..　ATT&CK Navigator 68<br/>4.3　利用ATT&CK进行映 70<br/>4.4　自我测试 73<br/>4.5　小结 77<br/>第5章　使用数据 78<br/>5.1　技术要求 78<br/>5.2　使用数据字典 78<br/>5.3　使用MITRE CAR 82<br/>5.4　使用Sigma规则 85<br/>5.5　小结 88<br/>第6章　对手 89<br/>6.1　创建对手计划 89<br/>6.1.1　对手的含义 89<br/>6.1.2　MITRE ATT&CK计划 90<br/>6.2?威胁 91<br/>6.2.1　Atomic Red Team 91<br/>6.2.2　Mordor 93<br/>6..　CALDERA 94<br/>6.2.4　工具 94<br/>6.3　自我测试 95<br/>6.4　小结 97<br/>第三部分　研究环境应用<br/>第7章　创建研究环境 100<br/>7.1　技术要求 100<br/>7.2　设置研究环境 101<br/>7.3　安装VMware ESXI 102<br/>7.3.1　创建虚拟局域网 102<br/>7.3.2　配置防火墙 104<br/>7.4　安装Windows服务器 108<br/>7.5　将Windows服务器配置为域控制器 112<br/>7.5.1　了解活动目录结构 115<br/>7.5.2　使服务器成为域控制器 117<br/>7.5.3　配置DHCP服务器 118<br/>7.5.4　创建组织单元 122<br/>7.5.5　创建用户 1<br/>7.5.6　创建组 125<br/>7.5.7　组策略对象 128<br/>7.5.8　设置审核策略 131<br/>7.5.9　添加新的客户端 136<br/>7.6　设置ELK 139<br/>7.6.1　配置Sysmon 143<br/>7.6.2　获取 145<br/>7.7　配置Winlogbeat 146<br/>7.8　额外好处：将Mordor数据集添加到ELK实例 150<br/>7.9　HELK：Roberto Rodriguez的开源工具 150<br/>7.10　小结 153<br/>第8章　查询数据 154<br/>8.1　技术要求 154<br/>8.2　基于Atomic Red Team的原子搜索 154<br/>8.3　 Atomic Red Team测试周期 155<br/>8.3.1　初始访问测试 156<br/>8.3.2　执行测试 163<br/>8.3.3　持久化测试 165<br/>8.3.4　权限提升测试 167<br/>8.3.5　防御规避测试 169<br/>8.3.6　发现测试 170<br/>8.3.7　命令与控制测试 171<br/>8.3.8　Invoke-AtomicRedTeam 172<br/>8.4　sar RAT 172<br/>8.4.1　sar RAT现实案例 173<br/>8.4.2　执行和检测sar RAT 174<br/>8.4.3　持久化测试 178<br/>8.4.4　凭据访问测试 180<br/>8.4.5　横向移动测试 181<br/>8.5　小结 182<br/>第9章　猎杀对手 183<br/>9.1　技术要求 183<br/>9.2　MITRE评估 183<br/>9.2.1　将APT29数据集导入HELK 184<br/>9.2.2　猎杀APT29 185<br/>9.3　使用MITRE CALDERA 205<br/>9.3.1　设置CALDERA 205<br/>9.3.2　使用CALDERA执行计划 209<br/>9.4　Sigma规则 218<br/>9.5　小结 221<br/>0章　记录和自动化流程的重要 222<br/>10.1　文档的重要 222<br/>10.1.1　写好文档的关键 222<br/>10.1.2　记录猎杀行动 224<br/>10.2　Threat Hunter Playbook 226<br/>10.3　Jupyter Notebook 228<br/>10.4　更新猎杀过程 228<br/>10.5　自动化的重要 228<br/>10.6　小结 0<br/>第四部分　交流成功经验<br/>1章　评估数据质量 2<br/>11.1　技术要求 2<br/>11.2　区分优劣数据 2<br/>11.3　提高数据质量 4<br/>11.3.1　OSSEM Power-up <br/>11.3.2　DeTT&CT <br/>11.3.3　Sysmon-Modular <br/>11.4　小结 <br/>2章　理解输出 240<br/>12.1　理解猎杀结果 240<br/>12.2　选择好的分析方法的重要 243<br/>1.　自我测试 243<br/>12.4　小结 245<br/>3章　定义跟踪指标 246<br/>13.1　技术要求 246<br/>13.2　定义良好指标的重要 246<br/>13.3　如何确定猎杀计划成功 248<br/>13.4　小结 250<br/>4章　让响应团队参与并做好沟通 253<br/>14.1　让事件响应团队参与进来 253<br/>14.2　沟通对威胁猎杀计划成功与否的影响 255<br/>14.3　自我测试 258<br/>14.4　小结 259<br/>附录　猎杀现状 260