ATT&CK與威脅獵殺實戰(zhàn)

譯者序
前言
作者簡介
審校者簡介
部分　網(wǎng)絡(luò)威脅情報
第1章　什么是網(wǎng)絡(luò)威脅情報 2
1.1　網(wǎng)絡(luò)威脅情報概述 2
1.1.1　戰(zhàn)略情報 3
1.1.2　運營情報 3
1.1.3　戰(zhàn)術(shù)情報 4
1.2　情報周期 5
1.2.1　計劃與確定目標(biāo) 7
1.2.2　準(zhǔn)備與收集 7
1.2.3　處理與利用 7
1.2.4　分析與生產(chǎn) 7
1.2.5　傳播與融合 7
1.2.6　評價與反饋 7
1.3　定義情報需求 8
1.4　收集過程 9
1.4.1　危害指標(biāo) 10
1.4.2　了解惡意軟件 10
1.4.3　使用公共資源進(jìn)行收集：OSINT 11
1.4.4　蜜罐 11
1.4.5　惡意軟件分析和沙箱 12
1.5　處理與利用 12
1.5.1　網(wǎng)絡(luò)殺傷鏈 12
1.5.2　鉆石模型 14
1.5.3　MITRE ATT&CK框架 14
1.6　偏見與分析 16
1.7　小結(jié) 16
第2章　什么是威脅獵殺 17
2.1　技術(shù)要求 17
2.2　威脅獵殺的定義 17
2.2.1　威脅獵殺類型 18
2.2.2　威脅獵人技能 19
2.2.3　痛苦金字塔 20
2.3　威脅獵殺成熟度模型 21
2.4　威脅獵殺過程 22
2.4.1　威脅獵殺循環(huán) 22
2.4.2　威脅獵殺模型 23
2.4.3　數(shù)據(jù)驅(qū)動的方法 23
2.4.4　集成威脅情報的定向獵殺 25
2.5　構(gòu)建假設(shè) 28
2.6　小結(jié) 29
第3章　數(shù)據(jù)來源 30
3.1　技術(shù)要求 30
3.2　了解已收集的數(shù)據(jù) 30
3.2.1　操作系統(tǒng)基礎(chǔ) 30
3.2.2　網(wǎng)絡(luò)基礎(chǔ) 33
3.3　Windows本機(jī)工具 42
3.3.1　Windows Event Viewer 42
3.3.2　WMI 45
3.3.3　ETW 46
3.4　數(shù)據(jù)源 47
3.4.1　終端數(shù)據(jù) 48
3.4.2　網(wǎng)絡(luò)數(shù)據(jù) 51
3.4.3　安全數(shù)據(jù) 57
3.5　小結(jié) 61
第二部分　理解對手
第4章　映射對手 64
4.1　技術(shù)要求 64
4.2　ATT&CK框架 64
4.2.1　戰(zhàn)術(shù)、技術(shù)、子技術(shù)和程序 65
4.2.2　ATT&CK矩陣 66
4.2.3　ATT&CK Navigator 68
4.3　利用ATT&CK進(jìn)行映射 70
4.4　自我測試 73
4.5　小結(jié) 77
第5章　使用數(shù)據(jù) 78
5.1　技術(shù)要求 78
5.2　使用數(shù)據(jù)字典 78
5.3　使用MITRE CAR 82
5.4　使用Sigma規(guī)則 85
5.5　小結(jié) 88
第6章　對手仿真 89
6.1　創(chuàng)建對手仿真計劃 89
6.1.1　對手仿真的含義 89
6.1.2　MITRE ATT&CK仿真計劃 90
6.2?仿真威脅 91
6.2.1　Atomic Red Team 91
6.2.2　Mordor 93
6.2.3　CALDERA 94
6.2.4　其他工具 94
6.3　自我測試 95
6.4　小結(jié) 97
第三部分　研究環(huán)境應(yīng)用
第7章　創(chuàng)建研究環(huán)境 100
7.1　技術(shù)要求 100
7.2　設(shè)置研究環(huán)境 101
7.3　安裝VMware ESXI 102
7.3.1　創(chuàng)建虛擬局域網(wǎng) 102
7.3.2　配置防火墻 104
7.4　安裝Windows服務(wù)器 108
7.5　將Windows服務(wù)器配置為域控制器 112
7.5.1　了解活動目錄結(jié)構(gòu) 115
7.5.2　使服務(wù)器成為域控制器 117
7.5.3　配置DHCP服務(wù)器 118
7.5.4　創(chuàng)建組織單元 122
7.5.5　創(chuàng)建用戶 123
7.5.6　創(chuàng)建組 125
7.5.7　組策略對象 128
7.5.8　設(shè)置審核策略 131
7.5.9　添加新的客戶端 136
7.6　設(shè)置ELK 139
7.6.1　配置Sysmon 143
7.6.2　獲取證書 145
7.7　配置Winlogbeat 146
7.8　額外好處：將Mordor數(shù)據(jù)集添加到ELK實例 150
7.9　HELK：Roberto Rodriguez的開源工具 150
7.10　小結(jié) 153
第8章　查詢數(shù)據(jù) 154
8.1　技術(shù)要求 154
8.2　基于Atomic Red Team的原子搜索 154
8.3　 Atomic Red Team測試周期 155
8.3.1　初始訪問測試 156
8.3.2　執(zhí)行測試 163
8.3.3　持久化測試 165
8.3.4　權(quán)限提升測試 167
8.3.5　防御規(guī)避測試 169
8.3.6　發(fā)現(xiàn)測試 170
8.3.7　命令與控制測試 171
8.3.8　Invoke-AtomicRedTeam 172
8.4　Quasar RAT 172
8.4.1　Quasar RAT現(xiàn)實案例 173
8.4.2　執(zhí)行和檢測Quasar RAT 174
8.4.3　持久化測試 178
8.4.4　憑據(jù)訪問測試 180
8.4.5　橫向移動測試 181
8.5　小結(jié) 182
第9章　獵殺對手 183
9.1　技術(shù)要求 183
9.2　MITRE評估 183
9.2.1　將APT29數(shù)據(jù)集導(dǎo)入HELK 184
9.2.2　獵殺APT29 185
9.3　使用MITRE CALDERA 205
9.3.1　設(shè)置CALDERA 205
9.3.2　使用CALDERA執(zhí)行仿真計劃 209
9.4　Sigma規(guī)則 218
9.5　小結(jié) 221
第10章　記錄和自動化流程的重要性 222
10.1　文檔的重要性 222
10.1.1　寫好文檔的關(guān)鍵 222
10.1.2　記錄獵殺行動 224
10.2　Threat Hunter Playbook 226
10.3　Jupyter Notebook 228
10.4　更新獵殺過程 228
10.5　自動化的重要性 228
10.6　小結(jié) 230
第四部分　交流成功經(jīng)驗
第11章　評估數(shù)據(jù)質(zhì)量 232
11.1　技術(shù)要求 232
11.2　區(qū)分優(yōu)劣數(shù)據(jù) 232
11.3　提高數(shù)據(jù)質(zhì)量 234
11.3.1　OSSEM Power-up 236
11.3.2　DeTT&CT 237
11.3.3　Sysmon-Modular 238
11.4　小結(jié) 239
第12章　理解輸出 240
12.1　理解獵殺結(jié)果 240
12.2　選擇好的分析方法的重要性 243
12.3　自我測試 243
12.4　小結(jié) 245
第13章　定義跟蹤指標(biāo) 246
13.1　技術(shù)要求 246
13.2　定義良好指標(biāo)的重要性 246
13.3　如何確定獵殺計劃成功 248
13.4　小結(jié) 250
第14章　讓響應(yīng)團(tuán)隊參與并做好溝通 253
14.1　讓事件響應(yīng)團(tuán)隊參與進(jìn)來 253
14.2　溝通對威脅獵殺計劃成功與否的影響 255
14.3　自我測試 258
14.4　小結(jié) 259
附錄　獵殺現(xiàn)狀 260