ATT&CK與威脅獵殺實(shí)戰(zhàn)

譯者序
前言
作者簡(jiǎn)介
審校者簡(jiǎn)介
部分　網(wǎng)絡(luò)威脅情報(bào)
第1章　什么是網(wǎng)絡(luò)威脅情報(bào) 2
1.1　網(wǎng)絡(luò)威脅情報(bào)概述 2
1.1.1　戰(zhàn)略情報(bào) 3
1.1.2　運(yùn)營(yíng)情報(bào) 3
1.1.3　戰(zhàn)術(shù)情報(bào) 4
1.2　情報(bào)周期 5
1.2.1　計(jì)劃與確定目標(biāo) 7
1.2.2　準(zhǔn)備與收集 7
1.2.3　處理與利用 7
1.2.4　分析與生產(chǎn) 7
1.2.5　傳播與融合 7
1.2.6　評(píng)價(jià)與反饋 7
1.3　定義情報(bào)需求 8
1.4　收集過(guò)程 9
1.4.1　危害指標(biāo) 10
1.4.2　了解惡意軟件 10
1.4.3　使用公共資源進(jìn)行收集：OSINT 11
1.4.4　蜜罐 11
1.4.5　惡意軟件分析和沙箱 12
1.5　處理與利用 12
1.5.1　網(wǎng)絡(luò)殺傷鏈 12
1.5.2　鉆石模型 14
1.5.3　MITRE ATT&CK框架 14
1.6　偏見(jiàn)與分析 16
1.7　小結(jié) 16
第2章　什么是威脅獵殺 17
2.1　技術(shù)要求 17
2.2　威脅獵殺的定義 17
2.2.1　威脅獵殺類(lèi)型 18
2.2.2　威脅獵人技能 19
2.2.3　痛苦金字塔 20
2.3　威脅獵殺成熟度模型 21
2.4　威脅獵殺過(guò)程 22
2.4.1　威脅獵殺循環(huán) 22
2.4.2　威脅獵殺模型 23
2.4.3　數(shù)據(jù)驅(qū)動(dòng)的方法 23
2.4.4　集成威脅情報(bào)的定向獵殺 25
2.5　構(gòu)建假設(shè) 28
2.6　小結(jié) 29
第3章　數(shù)據(jù)來(lái)源 30
3.1　技術(shù)要求 30
3.2　了解已收集的數(shù)據(jù) 30
3.2.1　操作系統(tǒng)基礎(chǔ) 30
3.2.2　網(wǎng)絡(luò)基礎(chǔ) 33
3.3　Windows本機(jī)工具 42
3.3.1　Windows Event Viewer 42
3.3.2　WMI 45
3.3.3　ETW 46
3.4　數(shù)據(jù)源 47
3.4.1　終端數(shù)據(jù) 48
3.4.2　網(wǎng)絡(luò)數(shù)據(jù) 51
3.4.3　安全數(shù)據(jù) 57
3.5　小結(jié) 61
第二部分　理解對(duì)手
第4章　映射對(duì)手 64
4.1　技術(shù)要求 64
4.2　ATT&CK框架 64
4.2.1　戰(zhàn)術(shù)、技術(shù)、子技術(shù)和程序 65
4.2.2　ATT&CK矩陣 66
4.2.3　ATT&CK Navigator 68
4.3　利用ATT&CK進(jìn)行映射 70
4.4　自我測(cè)試 73
4.5　小結(jié) 77
第5章　使用數(shù)據(jù) 78
5.1　技術(shù)要求 78
5.2　使用數(shù)據(jù)字典 78
5.3　使用MITRE CAR 82
5.4　使用Sigma規(guī)則 85
5.5　小結(jié) 88
第6章　對(duì)手仿真 89
6.1　創(chuàng)建對(duì)手仿真計(jì)劃 89
6.1.1　對(duì)手仿真的含義 89
6.1.2　MITRE ATT&CK仿真計(jì)劃 90
6.2?仿真威脅 91
6.2.1　Atomic Red Team 91
6.2.2　Mordor 93
6.2.3　CALDERA 94
6.2.4　其他工具 94
6.3　自我測(cè)試 95
6.4　小結(jié) 97
第三部分　研究環(huán)境應(yīng)用
第7章　創(chuàng)建研究環(huán)境 100
7.1　技術(shù)要求 100
7.2　設(shè)置研究環(huán)境 101
7.3　安裝VMware ESXI 102
7.3.1　創(chuàng)建虛擬局域網(wǎng) 102
7.3.2　配置防火墻 104
7.4　安裝Windows服務(wù)器 108
7.5　將Windows服務(wù)器配置為域控制器 112
7.5.1　了解活動(dòng)目錄結(jié)構(gòu) 115
7.5.2　使服務(wù)器成為域控制器 117
7.5.3　配置DHCP服務(wù)器 118
7.5.4　創(chuàng)建組織單元 122
7.5.5　創(chuàng)建用戶(hù) 123
7.5.6　創(chuàng)建組 125
7.5.7　組策略對(duì)象 128
7.5.8　設(shè)置審核策略 131
7.5.9　添加新的客戶(hù)端 136
7.6　設(shè)置ELK 139
7.6.1　配置Sysmon 143
7.6.2　獲取證書(shū) 145
7.7　配置Winlogbeat 146
7.8　額外好處：將Mordor數(shù)據(jù)集添加到ELK實(shí)例 150
7.9　HELK：Roberto Rodriguez的開(kāi)源工具 150
7.10　小結(jié) 153
第8章　查詢(xún)數(shù)據(jù) 154
8.1　技術(shù)要求 154
8.2　基于Atomic Red Team的原子搜索 154
8.3　 Atomic Red Team測(cè)試周期 155
8.3.1　初始訪問(wèn)測(cè)試 156
8.3.2　執(zhí)行測(cè)試 163
8.3.3　持久化測(cè)試 165
8.3.4　權(quán)限提升測(cè)試 167
8.3.5　防御規(guī)避測(cè)試 169
8.3.6　發(fā)現(xiàn)測(cè)試 170
8.3.7　命令與控制測(cè)試 171
8.3.8　Invoke-AtomicRedTeam 172
8.4　Quasar RAT 172
8.4.1　Quasar RAT現(xiàn)實(shí)案例 173
8.4.2　執(zhí)行和檢測(cè)Quasar RAT 174
8.4.3　持久化測(cè)試 178
8.4.4　憑據(jù)訪問(wèn)測(cè)試 180
8.4.5　橫向移動(dòng)測(cè)試 181
8.5　小結(jié) 182
第9章　獵殺對(duì)手 183
9.1　技術(shù)要求 183
9.2　MITRE評(píng)估 183
9.2.1　將APT29數(shù)據(jù)集導(dǎo)入HELK 184
9.2.2　獵殺APT29 185
9.3　使用MITRE CALDERA 205
9.3.1　設(shè)置CALDERA 205
9.3.2　使用CALDERA執(zhí)行仿真計(jì)劃 209
9.4　Sigma規(guī)則 218
9.5　小結(jié) 221
第10章　記錄和自動(dòng)化流程的重要性 222
10.1　文檔的重要性 222
10.1.1　寫(xiě)好文檔的關(guān)鍵 222
10.1.2　記錄獵殺行動(dòng) 224
10.2　Threat Hunter Playbook 226
10.3　Jupyter Notebook 228
10.4　更新獵殺過(guò)程 228
10.5　自動(dòng)化的重要性 228
10.6　小結(jié) 230
第四部分　交流成功經(jīng)驗(yàn)
第11章　評(píng)估數(shù)據(jù)質(zhì)量 232
11.1　技術(shù)要求 232
11.2　區(qū)分優(yōu)劣數(shù)據(jù) 232
11.3　提高數(shù)據(jù)質(zhì)量 234
11.3.1　OSSEM Power-up 236
11.3.2　DeTT&CT 237
11.3.3　Sysmon-Modular 238
11.4　小結(jié) 239
第12章　理解輸出 240
12.1　理解獵殺結(jié)果 240
12.2　選擇好的分析方法的重要性 243
12.3　自我測(cè)試 243
12.4　小結(jié) 245
第13章　定義跟蹤指標(biāo) 246
13.1　技術(shù)要求 246
13.2　定義良好指標(biāo)的重要性 246
13.3　如何確定獵殺計(jì)劃成功 248
13.4　小結(jié) 250
第14章　讓響應(yīng)團(tuán)隊(duì)參與并做好溝通 253
14.1　讓事件響應(yīng)團(tuán)隊(duì)參與進(jìn)來(lái) 253
14.2　溝通對(duì)威脅獵殺計(jì)劃成功與否的影響 255
14.3　自我測(cè)試 258
14.4　小結(jié) 259
附錄　獵殺現(xiàn)狀 260