前言

威脅獵殺是一種假設(shè)對(duì)手已經(jīng)在你的環(huán)境中，而你必須在其對(duì)業(yè)務(wù)造成重大損害之前主動(dòng)獵殺它們的行為。威脅獵殺是關(guān)于主動(dòng)測(cè)試和強(qiáng)化組織防御能力的行動(dòng)。本書(shū)旨在幫助分析師進(jìn)行這方面的實(shí)踐。

本書(shū)既適合那些初涉網(wǎng)絡(luò)威脅情報(bào)（Cyber Threat Intelligence，CTI）和威脅獵殺（Threat Hunting，TH）領(lǐng)域的人閱讀，也適合那些擁有更高級(jí)的網(wǎng)絡(luò)安全知識(shí)但希望從頭開(kāi)始實(shí)施TH計(jì)劃的讀者。

本書(shū)共分為四部分。第一部分介紹基礎(chǔ)知識(shí)，幫助你了解威脅情報(bào)的概念及如何使用它，如何收集數(shù)據(jù)及如何通過(guò)開(kāi)發(fā)數(shù)據(jù)模型來(lái)理解數(shù)據(jù)，還會(huì)涉及一些基本的網(wǎng)絡(luò)和操作系統(tǒng)概念，以及一些主要的TH數(shù)據(jù)源。第二部分介紹如何理解對(duì)手。第三部分介紹如何使用開(kāi)源工具針對(duì)TH構(gòu)建實(shí)驗(yàn)室環(huán)境，并通過(guò)實(shí)際示例介紹如何計(jì)劃獵殺。第一個(gè)實(shí)踐練習(xí)是利用Atomic Red Team進(jìn)行的小型原子獵殺，之后介紹使用情報(bào)驅(qū)動(dòng)假設(shè)和MITRE ATT&CK框架更深入地研究高級(jí)持續(xù)性威脅的獵殺。第四部分主要介紹評(píng)估數(shù)據(jù)質(zhì)量、記錄獵殺、定義和選擇跟蹤指標(biāo)、與團(tuán)隊(duì)溝通獵殺計(jì)劃以及向高管匯報(bào)TH結(jié)果等方面的訣竅和技巧。