前言
作者簡介
審校者簡介
第一部分 網絡威脅情報
第1章 什么是網絡威脅情報 2
1.1 網絡威脅情報概述 2
1.1.1 戰略情報 3
1.1.2 運營情報 3
1.1.3 戰術情報 4
1.2 情報周期 5
1.2.1 計劃與確定目標 7
1.2.2 準備與收集 7
1.2.3 處理與利用 7
1.2.4 分析與生產 7
1.2.5 傳播與融合 7
1.2.6 評價與反饋 7
1.3 定義情報需求 8
1.4 收集過程 9
1.4.1 危害指標 10
1.4.2 了解惡意軟件 10
1.4.3 使用公共資源進行收集：OSINT 11
1.4.4 蜜罐 11
1.4.5 惡意軟件分析和沙箱 12
1.5 處理與利用 12
1.5.1 網絡殺傷鏈 12
1.5.2 鉆石模型 14
1.5.3 MITRE ATT&CK框架 14
1.6 偏見與分析 16
1.7 小結 16
第2章 什么是威脅獵殺 17
2.1 技術要求 17
2.2 威脅獵殺的定義 17
2.2.1 威脅獵殺類型 18
2.2.2 威脅獵人技能 19
2.2.3 痛苦金字塔 20
2.3 威脅獵殺成熟度模型 21
2.4 威脅獵殺過程 22
2.4.1 威脅獵殺循環 22
2.4.2 威脅獵殺模型 23
2.4.3 數據驅動的方法 23
2.4.4 集成威脅情報的定向獵殺 25
2.5 構建假設 28
2.6 小結 29
第3章 數據來源 30
3.1 技術要求 30
3.2 了解已收集的數據 30
3.2.1 操作系統基礎 30
3.2.2 網絡基礎 33
3.3 Windows本機工具 42
3.3.1 Windows Event Viewer 42
3.3.2 WMI 45
3.3.3 ETW 46
3.4 數據源 47
3.4.1 終端數據 48
3.4.2 網絡數據 51
3.4.3 安全數據 57
3.5 小結 61
第二部分 理解對手
第4章 映射對手 64
4.1 技術要求 64
4.2 ATT&CK框架 64
4.2.1 戰術、技術、子技術和程序 65
4.2.2 ATT&CK矩陣 66
4.2.3 ATT&CK Navigator 68
4.3 利用ATT&CK進行映射 70
4.4 自我測試 73
4.5 小結 77
第5章 使用數據 78
5.1 技術要求 78
5.2 使用數據字典 78
5.3 使用MITRE CAR 82
5.4 使用Sigma規則 85
5.5 小結 88
第6章 對手仿真 89
6.1 創建對手仿真計劃 89
6.1.1 對手仿真的含義 89
6.1.2 MITRE ATT&CK仿真計劃 90
6.2?仿真威脅 91
6.2.1 Atomic Red Team 91
6.2.2 Mordor 93
6.2.3 CALDERA 94
6.2.4 其他工具 94
6.3 自我測試 95
6.4 小結 97
第三部分 研究環境應用
第7章 創建研究環境 100
7.1 技術要求 100
7.2 設置研究環境 101
7.3 安裝VMware ESXI 102
7.3.1 創建虛擬局域網 102
7.3.2 配置防火墻 104
7.4 安裝Windows服務器 108
7.5 將Windows服務器配置為域控制器 112
7.5.1 了解活動目錄結構 115
7.5.2 使服務器成為域控制器 117
7.5.3 配置DHCP服務器 118
7.5.4 創建組織單元 122
7.5.5 創建用戶 123
7.5.6 創建組 125
7.5.7 組策略對象 128
7.5.8 設置審核策略 131
7.5.9 添加新的客戶端 136
7.6 設置ELK 139
7.6.1 配置Sysmon 143
7.6.2 獲取證書 145
7.7 配置Winlogbeat 146
7.8 額外好處：將Mordor數據集添加到ELK實例 150
7.9 HELK：Roberto Rodriguez的開源工具 150
7.10 小結 153
第8章 查詢數據 154
8.1 技術要求 154
8.2 基于Atomic Red Team的原子搜索 154
8.3 Atomic Red Team測試周期 155
8.3.1 初始訪問測試 156
8.3.2 執行測試 163
8.3.3 持久化測試 165
8.3.4 權限提升測試 167
8.3.5 防御規避測試 169
8.3.6 發現測試 170
8.3.7 命令與控制測試 171
8.3.8 Invoke-AtomicRedTeam 172
8.4 Quasar RAT 172
8.4.1 Quasar RAT現實案例 173
8.4.2 執行和檢測Quasar RAT 174
8.4.3 持久化測試 178
8.4.4 憑據訪問測試 180
8.4.5 橫向移動測試 181
8.5 小結 182
第9章 獵殺對手 183
9.1 技術要求 183
9.2 MITRE評估 183
9.2.1 將APT29數據集導入HELK 184
9.2.2 獵殺APT29 185
9.3 使用MITRE CALDERA 205
9.3.1 設置CALDERA 205
9.3.2 使用CALDERA執行仿真計劃 209
9.4 Sigma規則 218
9.5 小結 221
第10章 記錄和自動化流程的重要性 222
10.1 文檔的重要性 222
10.1.1 寫好文檔的關鍵 222
10.1.2 記錄獵殺行動 224
10.2 Threat Hunter Playbook 226
10.3 Jupyter Notebook 228
10.4 更新獵殺過程 228
10.5 自動化的重要性 228
10.6 小結 230
第四部分 交流成功經驗
第11章 評估數據質量 232
11.1 技術要求 232
11.2 區分優劣數據 232
11.3 提高數據質量 234
11.3.1 OSSEM Power-up 236
11.3.2 DeTT&CT 237
11.3.3 Sysmon-Modular 238
11.4 小結 239
第12章 理解輸出 240
12.1 理解獵殺結果 240
12.2 選擇好的分析方法的重要性 243
12.3 自我測試 243
12.4 小結 245
第13章 定義跟蹤指標 246
13.1 技術要求 246
13.2 定義良好指標的重要性 246
13.3 如何確定獵殺計劃成功 248
13.4 小結 250
第14章 讓響應團隊參與并做好溝通 253
14.1 讓事件響應團隊參與進來 253
14.2 溝通對威脅獵殺計劃成功與否的影響 255
14.3 自我測試 258
14.4 小結 259
附錄 獵殺現狀 260