威脅狩獵

林寶晶工程師， 網絡安全專家，網絡安全全棧工程師，目前就職於奇安信集團。從事網絡安全工作 20餘年，具有豐富的安全產品研發、產品管理、安全解決方案及安全服務經驗，對網絡實戰攻防演習、安全運營、數據安全、網絡安全能力成熟度及威脅狩獵等方面有較深入的理解
錢錢 網絡安全專家，具有豐富的大型央企集團IT運維和安全運維經驗，長期研究 外安全防禦體系與模型，對網絡安全防禦體系有深入的研究。
鄒貴軍IT與網絡安全領域專家，曾先後效力於 外多家 企業，從網絡安全技術到網絡安全商務，積累了極其豐富的網絡安全經驗。近年來，致力於推動安全範式的演進，開創性地構建了網絡風險量化模型，並積極 網絡安全保險的行業生態建設。

前言
第一部分 威脅狩獵原理
第1章 什麽是威脅狩獵
1.1 威脅狩獵不是什麽
1.1.1 威脅狩獵不是應急響應
1.1.2 威脅狩獵不是事件分析
1.1.3 威脅狩獵不是攻擊模擬
1.2 威脅狩獵的概念
1.3 威脅狩獵的特征
1.3.1 主動
1.3.2 假設驅動
1.3.3 發現
1.3.4 入侵痕跡和攻擊行動
1.4 為什麽需要威脅狩獵
1.4.1 安全產品的局限性
1.4.2 高級攻擊手段層出不窮
1.4.3 縮短攻擊者的內網駐留時間
1.4.4 內部失陷環境感知能力不足
1.5 威脅狩獵的內涵
1.6 威脅狩獵的認識誤區
1.7 本章小結
第2章 SqrrI威脅狩獵環
2.1 SqrrI威脅狩獵環模型簡介
2.2 創建假設
2.2.1 基於威脅情報創建假設
2.2.2 基於態勢感知創建假設
2.2.3 基於領域知識創建假設
2.3 通過工具與技術手段開展調查
2.4 發現新威脅或者攻擊TTP
2.5 通知協作並提高自動化分析水平
2.6 增強型SqrrI威脅狩獵環
2.7 本章小結
第3章 Endgame威脅狩獵環
3.1 Endgame威脅狩獵環概述
3.2 調查階段
3.2.1 選擇資產
3.2.2 監控資產
3.3 加固階段
3.4 檢測階段
3.4.1 檢測攻擊
3.4.2 分析
3.5 響應階段
3.5.1 清除攻擊
3.5.2 威脅狩獵報告
3.6 本章小結
第4章 基於TTP的威脅狩獵
4.1 基於TTP的威脅狩獵概述
4.1.1 理解TTP
4.1.2 分析空間
4.1.3 檢測方法
4.1.4 數據類型
4.2 模型介紹
4.2.1 惡意行為特征化
4.2.2 過濾
4.2.3 威脅狩獵執行
4.2.4 報告
4.3 本章小結
第二部分 威脅狩獵實踐
第5章 威脅狩獵數據源與分析方法
5.1 確定數據源
5.2 網絡數據源
5.2.1 防火墻日誌
5.2.2 NAT日誌
5.2.3 NIDS/IPS日誌
5.2.4 WAF日誌
5.2.5 流量威脅檢測系統
5.3 終端/主機數據
5.3.1 終端防病毒日誌
5.3.2 EDR數據
5.4 應用安全數據
5.4.1 郵件安全網關
5.4.2 準入系統日誌
5.4.3 DHCP日誌
5.4.4 DNS日誌
5.5 威脅狩獵分析方法
5.5.1 搜索
5.5.2 聚類
5.5.3 分組
5.5.4 堆疊
5.6 本章小結
第6章 Endgame威脅狩獵環實踐
6.1 案例背景
6.2 準備
6.2.1 資產選擇
6.2.2 回顧有效的IT資產和網絡信息
6.2.3 理解網絡中的正常行為
6.2.4 配置和部署威脅狩獵探針
6.3 調查
6.3.1 調查範圍確定
6.3.2 采集並分析數據
6.3.3 擴展調查
6.3.4 重新調整威脅狩獵優先級
6.4 攻擊者移除
6.5 威脅狩獵報告
6.5.1 威脅狩獵行動概要
6.5.2 編寫威脅狩獵報告
6.6 本章小結
第7章 SqrrI威脅狩獵環實踐
7.1 案例背景
7.2 創建假設
7.3 開展調查
7.3.1 在主機上發現異常的命令執行
7.3.2 在流量數據中找到內存馬
7.4 攻擊特征提取
7.5 自動化分析
7.6 本章小結
第8章 基於TTP的威脅狩獵環實踐
8.1 常見的基於TTP的威脅狩獵方法
8.1.1 針對執行階段的威脅狩獵方法
8.1.2 針對命令與控制階段的威脅狩獵方法
8.1.3 針對橫向移動階段的威脅狩獵方法
8.1.4 針對數據滲出階段的威脅狩獵方法
8.2 基於TTP的威脅狩獵完整案例
8.2.1 案例背景
8.2.2 基於情報收集數據
8.2.3 檢測惡意行為與調查
8.2.4 發現新特征和TTP
8.3 本章小結
後記
附錄