內(nèi)容概覽

第1章介紹不同類(lèi)型的威脅之間的區(qū)別，如何收集危害指標(biāo)（Indicators Of Compromise，IOC），以及如何分析收集到的信息。

第2章介紹什么是威脅獵殺，為什么它很重要，以及如何定義獵殺假設(shè)。

第3章不僅簡(jiǎn)要概述威脅獵殺，還介紹計(jì)劃和設(shè)計(jì)獵殺計(jì)劃時(shí)可以使用哪些不同的步驟和模型。

第4章介紹上下文，因?yàn)橐斫馐占男畔?，我們需要將它放置到適當(dāng)?shù)纳舷挛闹?。沒(méi)有上下文且未經(jīng)分析的信息不是情報(bào)。本章我們將學(xué)習(xí)如何使用MITRE ATT&CK框架形成情報(bào)報(bào)告。

第5章介紹創(chuàng)建數(shù)據(jù)字典的過(guò)程，闡述為什么這是威脅獵殺過(guò)程的關(guān)鍵部分，以及為什么集中包含終端數(shù)據(jù)在內(nèi)的所有數(shù)據(jù)很關(guān)鍵。

第6章展示如何使用CTI創(chuàng)建威脅行為體仿真計(jì)劃，并將其與數(shù)據(jù)驅(qū)動(dòng)的方法相結(jié)合來(lái)執(zhí)行獵殺。

第7章介紹如何使用不同的開(kāi)源工具設(shè)置研究環(huán)境。我們主要通過(guò)創(chuàng)建Windows實(shí)驗(yàn)室環(huán)境和設(shè)置ELK（Elasticsearch，Logstash，Kibana）實(shí)例來(lái)記錄數(shù)據(jù)。

第8章介紹如何使用Atomic Red Team執(zhí)行原子獵殺，讓你熟悉操作系統(tǒng)和獵殺過(guò)程。然后，使用Quasar RAT感染“零號(hào)受害者”，演示如何在系統(tǒng)上執(zhí)行獵殺過(guò)程來(lái)檢測(cè)Quasar RAT。

第9章探討如何將Mordor解決方案集成到ELK/HELK實(shí)例中。Mordor項(xiàng)目旨在提供預(yù)先記錄的事件，模仿威脅行為體的行為。然后，我們使用Mordor APT29數(shù)據(jù)集加載環(huán)境，以APT29 ATT&CK映射為例進(jìn)行情報(bào)驅(qū)動(dòng)的獵殺。最后，使用CALDERA模擬我們自己設(shè)計(jì)的威脅。

第10章探討文檔。威脅獵殺流程的最后一部分涉及TH流程的記錄、自動(dòng)化和更新。本章還將介紹記錄和自動(dòng)化技巧，這將幫助你把計(jì)劃提高到一個(gè)新的水平。獵殺的自動(dòng)化是將分析師從反復(fù)執(zhí)行相同獵殺的過(guò)程中解放出來(lái)的關(guān)鍵，但并不是所有的事情都能夠或應(yīng)當(dāng)自動(dòng)化。

第11章討論評(píng)估數(shù)據(jù)質(zhì)量的重要性，并利用幾個(gè)開(kāi)源工具幫助我們組織和完善數(shù)據(jù)。

第12章詳細(xì)介紹在實(shí)驗(yàn)室環(huán)境之外執(zhí)行獵殺時(shí)可以獲得的不同輸出，以及如何在需要時(shí)改進(jìn)查詢(xún)。

第13章分析指標(biāo)。好的指標(biāo)應(yīng)該不僅可以用來(lái)評(píng)估單個(gè)獵殺，還可以用來(lái)評(píng)估整個(gè)獵殺計(jì)劃是否成功。本章提供了一系列可用來(lái)評(píng)估獵殺計(jì)劃成功與否的指標(biāo)。此外，還將討論用于TH的MaGMA框架，方便你跟蹤結(jié)果。

第14章重在強(qiáng)調(diào)結(jié)果的溝通。成為自己所在領(lǐng)域的專(zhuān)家固然很棒，但如果不善于匯報(bào)你的專(zhuān)家行動(dòng)如何對(duì)公司的投資回報(bào)產(chǎn)生積極影響，可能就無(wú)法走得很遠(yuǎn)。本章將討論如何與團(tuán)隊(duì)溝通，如何融入事件響應(yīng)團(tuán)隊(duì)，以及如何向上級(jí)管理層匯報(bào)結(jié)果。