本書主要介紹ATT&CK框架與威脅獵殺。第1部分為基礎知識,幫助讀者了解如何收集數據以及如何通過開發數據模型來理解數據,以及一些基本的網絡和操作系統概念,并介紹一些主要的TH數據源。第2部分介紹如何使用開源工具構建實驗室環境,以及如何通過實際例子計劃獵殺。結尾討論如何評估數據質量,記錄、定義和選擇跟蹤指標等方面的內容。
威脅獵殺是一種假設對手已經在你的環境中,而你必須在其對業務造成重大損害之前主動獵殺它們的行為。威脅獵殺是關于主動測試和強化組織防御能力的行動。本書旨在幫助分析師進行這方面的實踐。
本書既適合那些初涉網絡威脅情報(Cyber Threat Intelligence,CTI)和威脅獵殺(Threat Hunting,TH)領域的人閱讀,也適合那些擁有更高級的網絡安全知識但希望從頭開始實施TH計劃的讀者。
本書共分為四部分。部分介紹基礎知識,幫助你了解威脅情報的概念及如何使用它,如何收集數據及如何通過開發數據模型來理解數據,還會涉及一些基本的網絡和操作系統概念,以及一些主要的TH數據源。第二部分介紹如何理解對手。第三部分介紹如何使用開源工具針對TH構建實驗室環境,并通過實際示例介紹如何計劃獵殺。個實踐練習是利用Atomic Red Team進行的小型原子獵殺,之后介紹使用情報驅動假設和MITRE ATT&CK框架更深入地研究高級持續性威脅的獵殺。第四部分主要介紹評估數據質量、記錄獵殺、定義和選擇跟蹤指標、與團隊溝通獵殺計劃以及向高管匯報TH結果等方面的訣竅和技巧。
讀者對象
本書面向對TH實戰感興趣的讀者,可以指導系統管理員、計算機工程師和安全專業人員等向TH實戰邁出步。
內容概覽
第1章介紹不同類型的威脅之間的區別,如何收集危害指標(Indicators Of Compromise,IOC),以及如何分析收集到的信息。
第2章介紹什么是威脅獵殺,為什么它很重要,以及如何定義獵殺假設。
第3章不僅簡要概述威脅獵殺,還介紹計劃和設計獵殺計劃時可以使用哪些不同的步驟和模型。
第4章介紹上下文,因為要理解收集的信息,我們需要將它放置到適當的上下文中。沒有上下文且未經分析的信息不是情報。本章我們將學習如何使用MITRE ATT&CK框架形成情報報告。
第5章介紹創建數據字典的過程,闡述為什么這是威脅獵殺過程的關鍵部分,以及為什么集中包含終端數據在內的所有數據很關鍵。
第6章展示如何使用CTI創建威脅行為體仿真計劃,并將其與數據驅動的方法相結合來執行獵殺。
第7章介紹如何使用不同的開源工具設置研究環境。我們主要通過創建Windows實驗室環境和設置ELK(Elasticsearch, Logstash, Kibana)實例來記錄數據。
第8章介紹如何使用Atomic Red Team執行原子獵殺,讓你熟悉操作系統和獵殺過程。然后,使用Quasar RAT感染“零號受害者”,演示如何在系統上執行獵殺過程來檢測Quasar RAT。
第9章探討如何將Mordor解決方案集成到ELK/HELK實例中。Mordor項目旨在提供預先記錄的事件,模仿威脅行為體的行為。然后,我們使用Mordor APT29數據集加載環境,以APT29 ATT&CK映射為例進行情報驅動的獵殺。后,使用CALDERA模擬我們自己設計的威脅。
第10章探討文檔。威脅獵殺流程的后一部分涉及TH流程的記錄、自動化和更新。本章還將介紹記錄和自動化技巧,這將幫助你把計劃提高到一個新的水平。獵殺的自動化是將分析師從反復執行相同獵殺的過程中解放出來的關鍵,但并不是所有的事情都能夠或應當自動化。
第11章討論評估數據質量的重要性,并利用幾個開源工具幫助我們組織和完善數據。
第12章詳細介紹在實驗室環境之外執行獵殺時可以獲得的不同輸出,以及如何在需要時改進查詢。
第13章分析指標。好的指標應該不僅可以用來評估單個獵殺,還可以用來評估整個獵殺計劃是否成功。本章提供了一系列可用來評估獵殺計劃成功與否的指標。此外,還將討論用于TH的MaGMA框架,方便你跟蹤結果。
第14章重在強調結果的溝通。成為自己所在領域的專家固然很棒,但如果不善于匯報你的專家行動如何對公司的投資回報產生積極影響,可能就無法走得很遠。本章將討論如何與團隊溝通,如何融入事件響應團隊,以及如何向上級管理層匯報結果。
如何充分利用本書
雖然在第7章中為那些無法構建自己的服務器的人提供了替代方案,但要充分利用本書,你需要有安裝了VMware EXSI的服務器。
服務器要求如下:
4~6核。
16~32 GB RAM。
50 GB~1 TB。
盡管如此,你仍然可以使用ELK/HELK實例和Mordor數據集來完成本書中幾乎所有的練習。第7章也提到了其他Splunk替代方案。
本書將基于Mordor數據集使用MITRE ATT&CK Evals進行高級獵殺。
本書涵蓋的軟件/硬件OS需求
PowerShellWindows
Python 3.7Windows, Linux
ELK StackWindows, Linux
Quasar RAT
如果熟悉MITRE ATT&CK企業矩陣,那么在閱讀本書時你將擁有極大優勢。
下載彩色圖像
本書中的屏幕截圖及圖表可以從http://www.packtpub.com/sites/default/files/downloads/9781838556372_ColorImages.pdf下載。
排版約定
本書中使用了許多文本約定。
文本中的代碼體:指示文本中的代碼字、數據庫表名、文件夾名、文件名、文件擴展名、路徑名、用戶輸入和Twitter句柄。例如:“步是復制Sigma資源庫,然后從資源庫或通過 pip install sigmatools安裝sigmatools。”
代碼塊設置如下:
from attackcti import attack
譯者序
前言
作者簡介
審校者簡介
部分 網絡威脅情報
第1章 什么是網絡威脅情報 2
1.1 網絡威脅情報概述 2
1.1.1 戰略情報 3
1.1.2 運營情報 3
1.1.3 戰術情報 4
1.2 情報周期 5
1.2.1 計劃與確定目標 7
1.2.2 準備與收集 7
1.2.3 處理與利用 7
1.2.4 分析與生產 7
1.2.5 傳播與融合 7
1.2.6 評價與反饋 7
1.3 定義情報需求 8
1.4 收集過程 9
1.4.1 危害指標 10
1.4.2 了解惡意軟件 10
1.4.3 使用公共資源進行收集:OSINT 11
1.4.4 蜜罐 11
1.4.5 惡意軟件分析和沙箱 12
1.5 處理與利用 12
1.5.1 網絡殺傷鏈 12
1.5.2 鉆石模型 14
1.5.3 MITRE ATT&CK框架 14
1.6 偏見與分析 16
1.7 小結 16
第2章 什么是威脅獵殺 17
2.1 技術要求 17
2.2 威脅獵殺的定義 17
2.2.1 威脅獵殺類型 18
2.2.2 威脅獵人技能 19
2.2.3 痛苦金字塔 20
2.3 威脅獵殺成熟度模型 21
2.4 威脅獵殺過程 22
2.4.1 威脅獵殺循環 22
2.4.2 威脅獵殺模型 23
2.4.3 數據驅動的方法 23
2.4.4 集成威脅情報的定向獵殺 25
2.5 構建假設 28
2.6 小結 29
第3章 數據來源 30
3.1 技術要求 30
3.2 了解已收集的數據 30
3.2.1 操作系統基礎 30
3.2.2 網絡基礎 33
3.3 Windows本機工具 42
3.3.1 Windows Event Viewer 42
3.3.2 WMI 45
3.3.3 ETW 46
3.4 數據源 47
3.4.1 終端數據 48
3.4.2 網絡數據 51
3.4.3 安全數據 57
3.5 小結 61
第二部分 理解對手
第4章 映射對手 64
4.1 技術要求 64
4.2 ATT&CK框架 64
4.2.1 戰術、技術、子技術和程序 65
4.2.2 ATT&CK矩陣 66
4.2.3 ATT&CK Navigator 68
4.3 利用ATT&CK進行映射 70
4.4 自我測試 73
4.5 小結 77
第5章 使用數據 78
5.1 技術要求 78
5.2 使用數據字典 78
5.3 使用MITRE CAR 82
5.4 使用Sigma規則 85
5.5 小結 88
第6章 對手仿真 89
6.1 創建對手仿真計劃 89
6.1.1 對手仿真的含義 89
6.1.2 MITRE ATT&CK仿真計劃 90
6.2?仿真威脅 91
6.2.1 Atomic Red Team 91
6.2.2 Mordor 93
6.2.3 CALDERA 94
6.2.4 其他工具 94
6.3 自我測試 95
6.4 小結 97
第三部分 研究環境應用
第7章 創建研究環境 100
7.1 技術要求 100
7.2 設置研究環境 101
7.3 安裝VMware ESXI 102
7.3.1 創建虛擬局域網 102
7.3.2 配置防火墻 104
7.4 安裝Windows服務器 108
7.5 將Windows服務器配置為域控制器 112
7.5.1 了解活動目錄結構 115
7.5.2 使服務器成為域控制器 117
7.5.3 配置DHCP服務器 118
7.5.4 創建組織單元 122
7.5.5 創建用戶 123
7.5.6 創建組 125
7.5.7 組策略對象 128
7.5.8 設置審核策略 131
7.5.9 添加新的客戶端 136
7.6 設置ELK 139
7.6.1 配置Sysmon 143
7.6.2 獲取證書 145
7.7 配置Winlogbeat 146
7.8 額外好處:將Mordor數據集添加到ELK實例 150
7.9 HELK:Roberto Rodriguez的開源工具 150
7.10 小結 153
第8章 查詢數據 154
8.1 技術要求 154
8.2 基于Atomic Red Team的原子搜索 154
8.3 Atomic Red Team測試周期 155
8.3.1 初始訪問測試 156
8.3.2 執行測試 163
8.3.3 持久化測試 165
8.3.4 權限提升測試 167
8.3.5 防御規避測試 169
8.3.6 發現測試 170
8.3.7 命令與控制測試 171
8.3.8 Invoke-AtomicRedTeam 172
8.4 Quasar RAT 172
8.4.1 Quasar RAT現實案例 173
8.4.2 執行和檢測Quasar RAT 174
8.4.3 持久化測試 178
8.4.4 憑據訪問測試 180
8.4.5 橫向移動測試 181
8.5 小結 182
第9章 獵殺對手 183
9.1 技術要求 183
9.2 MITRE評估 183
9.2.1 將APT29數據集導入HELK 184
9.2.2 獵殺APT29 185
9.3 使用MITRE CALDERA 205
9.3.1 設置CALDERA 205
9.3.2 使用CALDERA執行仿真計劃 209
9.4 Sigma規則 218
9.5 小結 221
第10章 記錄和自動化流程的重要性 222
10.1 文檔的重要性 222
10.1.1 寫好文檔的關鍵 222
10.1.2 記錄獵殺行動 224
10.2 Threat Hunter Playbook 226
10.3 Jupyter Notebook 228
10.4 更新獵殺過程 228
10.5 自動化的重要性 228
10.6 小結 230
第四部分 交流成功經驗
第11章 評估數據質量 232
11.1 技術要求 232
11.2 區分優劣數據 232
11.3 提高數據質量 234
11.3.1 OSSEM Power-up 236
11.3.2 DeTT&CT 237
11.3.3 Sysmon-Modular 238
11.4 小結 239
第12章 理解輸出 240
12.1 理解獵殺結果 240
12.2 選擇好的分析方法的重要性 243
12.3 自我測試 243
12.4 小結 245
第13章 定義跟蹤指標 246
13.1 技術要求 246
13.2 定義良好指標的重要性 246
13.3 如何確定獵殺計劃成功 248
13.4 小結 250
第14章 讓響應團隊參與并做好溝通 253
14.1 讓事件響應團隊參與進來 253
14.2 溝通對威脅獵殺計劃成功與否的影響 255
14.3 自我測試 258
14.4 小結 259
附錄 獵殺現狀 260
新書資訊