本書主要介紹ATT&CK框架與威脅獵殺。第1部分為基礎(chǔ)知識(shí),幫助讀者了解如何收集數(shù)據(jù)以及如何通過開發(fā)數(shù)據(jù)模型來理解數(shù)據(jù),以及一些基本的網(wǎng)絡(luò)和操作系統(tǒng)概念,并介紹一些主要的TH數(shù)據(jù)源。第2部分介紹如何使用開源工具構(gòu)建實(shí)驗(yàn)室環(huán)境,以及如何通過實(shí)際例子計(jì)劃獵殺。結(jié)尾討論如何評(píng)估數(shù)據(jù)質(zhì)量,記錄、定義和選擇跟蹤指標(biāo)等方面的內(nèi)容。
威脅獵殺是一種假設(shè)對(duì)手已經(jīng)在你的環(huán)境中,而你必須在其對(duì)業(yè)務(wù)造成重大損害之前主動(dòng)獵殺它們的行為。威脅獵殺是關(guān)于主動(dòng)測(cè)試和強(qiáng)化組織防御能力的行動(dòng)。本書旨在幫助分析師進(jìn)行這方面的實(shí)踐。
本書既適合那些初涉網(wǎng)絡(luò)威脅情報(bào)(Cyber Threat Intelligence,CTI)和威脅獵殺(Threat Hunting,TH)領(lǐng)域的人閱讀,也適合那些擁有更高級(jí)的網(wǎng)絡(luò)安全知識(shí)但希望從頭開始實(shí)施TH計(jì)劃的讀者。
本書共分為四部分。部分介紹基礎(chǔ)知識(shí),幫助你了解威脅情報(bào)的概念及如何使用它,如何收集數(shù)據(jù)及如何通過開發(fā)數(shù)據(jù)模型來理解數(shù)據(jù),還會(huì)涉及一些基本的網(wǎng)絡(luò)和操作系統(tǒng)概念,以及一些主要的TH數(shù)據(jù)源。第二部分介紹如何理解對(duì)手。第三部分介紹如何使用開源工具針對(duì)TH構(gòu)建實(shí)驗(yàn)室環(huán)境,并通過實(shí)際示例介紹如何計(jì)劃獵殺。個(gè)實(shí)踐練習(xí)是利用Atomic Red Team進(jìn)行的小型原子獵殺,之后介紹使用情報(bào)驅(qū)動(dòng)假設(shè)和MITRE ATT&CK框架更深入地研究高級(jí)持續(xù)性威脅的獵殺。第四部分主要介紹評(píng)估數(shù)據(jù)質(zhì)量、記錄獵殺、定義和選擇跟蹤指標(biāo)、與團(tuán)隊(duì)溝通獵殺計(jì)劃以及向高管匯報(bào)TH結(jié)果等方面的訣竅和技巧。
讀者對(duì)象
本書面向?qū)H實(shí)戰(zhàn)感興趣的讀者,可以指導(dǎo)系統(tǒng)管理員、計(jì)算機(jī)工程師和安全專業(yè)人員等向TH實(shí)戰(zhàn)邁出步。
內(nèi)容概覽
第1章介紹不同類型的威脅之間的區(qū)別,如何收集危害指標(biāo)(Indicators Of Compromise,IOC),以及如何分析收集到的信息。
第2章介紹什么是威脅獵殺,為什么它很重要,以及如何定義獵殺假設(shè)。
第3章不僅簡(jiǎn)要概述威脅獵殺,還介紹計(jì)劃和設(shè)計(jì)獵殺計(jì)劃時(shí)可以使用哪些不同的步驟和模型。
第4章介紹上下文,因?yàn)橐斫馐占男畔ⅲ覀冃枰獙⑺胖玫竭m當(dāng)?shù)纳舷挛闹小]有上下文且未經(jīng)分析的信息不是情報(bào)。本章我們將學(xué)習(xí)如何使用MITRE ATT&CK框架形成情報(bào)報(bào)告。
第5章介紹創(chuàng)建數(shù)據(jù)字典的過程,闡述為什么這是威脅獵殺過程的關(guān)鍵部分,以及為什么集中包含終端數(shù)據(jù)在內(nèi)的所有數(shù)據(jù)很關(guān)鍵。
第6章展示如何使用CTI創(chuàng)建威脅行為體仿真計(jì)劃,并將其與數(shù)據(jù)驅(qū)動(dòng)的方法相結(jié)合來執(zhí)行獵殺。
第7章介紹如何使用不同的開源工具設(shè)置研究環(huán)境。我們主要通過創(chuàng)建Windows實(shí)驗(yàn)室環(huán)境和設(shè)置ELK(Elasticsearch, Logstash, Kibana)實(shí)例來記錄數(shù)據(jù)。
第8章介紹如何使用Atomic Red Team執(zhí)行原子獵殺,讓你熟悉操作系統(tǒng)和獵殺過程。然后,使用Quasar RAT感染“零號(hào)受害者”,演示如何在系統(tǒng)上執(zhí)行獵殺過程來檢測(cè)Quasar RAT。
第9章探討如何將Mordor解決方案集成到ELK/HELK實(shí)例中。Mordor項(xiàng)目旨在提供預(yù)先記錄的事件,模仿威脅行為體的行為。然后,我們使用Mordor APT29數(shù)據(jù)集加載環(huán)境,以APT29 ATT&CK映射為例進(jìn)行情報(bào)驅(qū)動(dòng)的獵殺。后,使用CALDERA模擬我們自己設(shè)計(jì)的威脅。
第10章探討文檔。威脅獵殺流程的后一部分涉及TH流程的記錄、自動(dòng)化和更新。本章還將介紹記錄和自動(dòng)化技巧,這將幫助你把計(jì)劃提高到一個(gè)新的水平。獵殺的自動(dòng)化是將分析師從反復(fù)執(zhí)行相同獵殺的過程中解放出來的關(guān)鍵,但并不是所有的事情都能夠或應(yīng)當(dāng)自動(dòng)化。
第11章討論評(píng)估數(shù)據(jù)質(zhì)量的重要性,并利用幾個(gè)開源工具幫助我們組織和完善數(shù)據(jù)。
第12章詳細(xì)介紹在實(shí)驗(yàn)室環(huán)境之外執(zhí)行獵殺時(shí)可以獲得的不同輸出,以及如何在需要時(shí)改進(jìn)查詢。
第13章分析指標(biāo)。好的指標(biāo)應(yīng)該不僅可以用來評(píng)估單個(gè)獵殺,還可以用來評(píng)估整個(gè)獵殺計(jì)劃是否成功。本章提供了一系列可用來評(píng)估獵殺計(jì)劃成功與否的指標(biāo)。此外,還將討論用于TH的MaGMA框架,方便你跟蹤結(jié)果。
第14章重在強(qiáng)調(diào)結(jié)果的溝通。成為自己所在領(lǐng)域的專家固然很棒,但如果不善于匯報(bào)你的專家行動(dòng)如何對(duì)公司的投資回報(bào)產(chǎn)生積極影響,可能就無法走得很遠(yuǎn)。本章將討論如何與團(tuán)隊(duì)溝通,如何融入事件響應(yīng)團(tuán)隊(duì),以及如何向上級(jí)管理層匯報(bào)結(jié)果。
如何充分利用本書
雖然在第7章中為那些無法構(gòu)建自己的服務(wù)器的人提供了替代方案,但要充分利用本書,你需要有安裝了VMware EXSI的服務(wù)器。
服務(wù)器要求如下:
4~6核。
16~32 GB RAM。
50 GB~1 TB。
盡管如此,你仍然可以使用ELK/HELK實(shí)例和Mordor數(shù)據(jù)集來完成本書中幾乎所有的練習(xí)。第7章也提到了其他Splunk替代方案。
本書將基于Mordor數(shù)據(jù)集使用MITRE ATT&CK Evals進(jìn)行高級(jí)獵殺。
本書涵蓋的軟件/硬件OS需求
PowerShellWindows
Python 3.7Windows, Linux
ELK StackWindows, Linux
Quasar RAT
如果熟悉MITRE ATT&CK企業(yè)矩陣,那么在閱讀本書時(shí)你將擁有極大優(yōu)勢(shì)。
下載彩色圖像
本書中的屏幕截圖及圖表可以從http://www.packtpub.com/sites/default/files/downloads/9781838556372_ColorImages.pdf下載。
排版約定
本書中使用了許多文本約定。
文本中的代碼體:指示文本中的代碼字、數(shù)據(jù)庫表名、文件夾名、文件名、文件擴(kuò)展名、路徑名、用戶輸入和Twitter句柄。例如:“步是復(fù)制Sigma資源庫,然后從資源庫或通過 pip install sigmatools安裝sigmatools。”
代碼塊設(shè)置如下:
from attackcti import attack
譯者序
前言
作者簡(jiǎn)介
審校者簡(jiǎn)介
部分 網(wǎng)絡(luò)威脅情報(bào)
第1章 什么是網(wǎng)絡(luò)威脅情報(bào) 2
1.1 網(wǎng)絡(luò)威脅情報(bào)概述 2
1.1.1 戰(zhàn)略情報(bào) 3
1.1.2 運(yùn)營(yíng)情報(bào) 3
1.1.3 戰(zhàn)術(shù)情報(bào) 4
1.2 情報(bào)周期 5
1.2.1 計(jì)劃與確定目標(biāo) 7
1.2.2 準(zhǔn)備與收集 7
1.2.3 處理與利用 7
1.2.4 分析與生產(chǎn) 7
1.2.5 傳播與融合 7
1.2.6 評(píng)價(jià)與反饋 7
1.3 定義情報(bào)需求 8
1.4 收集過程 9
1.4.1 危害指標(biāo) 10
1.4.2 了解惡意軟件 10
1.4.3 使用公共資源進(jìn)行收集:OSINT 11
1.4.4 蜜罐 11
1.4.5 惡意軟件分析和沙箱 12
1.5 處理與利用 12
1.5.1 網(wǎng)絡(luò)殺傷鏈 12
1.5.2 鉆石模型 14
1.5.3 MITRE ATT&CK框架 14
1.6 偏見與分析 16
1.7 小結(jié) 16
第2章 什么是威脅獵殺 17
2.1 技術(shù)要求 17
2.2 威脅獵殺的定義 17
2.2.1 威脅獵殺類型 18
2.2.2 威脅獵人技能 19
2.2.3 痛苦金字塔 20
2.3 威脅獵殺成熟度模型 21
2.4 威脅獵殺過程 22
2.4.1 威脅獵殺循環(huán) 22
2.4.2 威脅獵殺模型 23
2.4.3 數(shù)據(jù)驅(qū)動(dòng)的方法 23
2.4.4 集成威脅情報(bào)的定向獵殺 25
2.5 構(gòu)建假設(shè) 28
2.6 小結(jié) 29
第3章 數(shù)據(jù)來源 30
3.1 技術(shù)要求 30
3.2 了解已收集的數(shù)據(jù) 30
3.2.1 操作系統(tǒng)基礎(chǔ) 30
3.2.2 網(wǎng)絡(luò)基礎(chǔ) 33
3.3 Windows本機(jī)工具 42
3.3.1 Windows Event Viewer 42
3.3.2 WMI 45
3.3.3 ETW 46
3.4 數(shù)據(jù)源 47
3.4.1 終端數(shù)據(jù) 48
3.4.2 網(wǎng)絡(luò)數(shù)據(jù) 51
3.4.3 安全數(shù)據(jù) 57
3.5 小結(jié) 61
第二部分 理解對(duì)手
第4章 映射對(duì)手 64
4.1 技術(shù)要求 64
4.2 ATT&CK框架 64
4.2.1 戰(zhàn)術(shù)、技術(shù)、子技術(shù)和程序 65
4.2.2 ATT&CK矩陣 66
4.2.3 ATT&CK Navigator 68
4.3 利用ATT&CK進(jìn)行映射 70
4.4 自我測(cè)試 73
4.5 小結(jié) 77
第5章 使用數(shù)據(jù) 78
5.1 技術(shù)要求 78
5.2 使用數(shù)據(jù)字典 78
5.3 使用MITRE CAR 82
5.4 使用Sigma規(guī)則 85
5.5 小結(jié) 88
第6章 對(duì)手仿真 89
6.1 創(chuàng)建對(duì)手仿真計(jì)劃 89
6.1.1 對(duì)手仿真的含義 89
6.1.2 MITRE ATT&CK仿真計(jì)劃 90
6.2?仿真威脅 91
6.2.1 Atomic Red Team 91
6.2.2 Mordor 93
6.2.3 CALDERA 94
6.2.4 其他工具 94
6.3 自我測(cè)試 95
6.4 小結(jié) 97
第三部分 研究環(huán)境應(yīng)用
第7章 創(chuàng)建研究環(huán)境 100
7.1 技術(shù)要求 100
7.2 設(shè)置研究環(huán)境 101
7.3 安裝VMware ESXI 102
7.3.1 創(chuàng)建虛擬局域網(wǎng) 102
7.3.2 配置防火墻 104
7.4 安裝Windows服務(wù)器 108
7.5 將Windows服務(wù)器配置為域控制器 112
7.5.1 了解活動(dòng)目錄結(jié)構(gòu) 115
7.5.2 使服務(wù)器成為域控制器 117
7.5.3 配置DHCP服務(wù)器 118
7.5.4 創(chuàng)建組織單元 122
7.5.5 創(chuàng)建用戶 123
7.5.6 創(chuàng)建組 125
7.5.7 組策略對(duì)象 128
7.5.8 設(shè)置審核策略 131
7.5.9 添加新的客戶端 136
7.6 設(shè)置ELK 139
7.6.1 配置Sysmon 143
7.6.2 獲取證書 145
7.7 配置Winlogbeat 146
7.8 額外好處:將Mordor數(shù)據(jù)集添加到ELK實(shí)例 150
7.9 HELK:Roberto Rodriguez的開源工具 150
7.10 小結(jié) 153
第8章 查詢數(shù)據(jù) 154
8.1 技術(shù)要求 154
8.2 基于Atomic Red Team的原子搜索 154
8.3 Atomic Red Team測(cè)試周期 155
8.3.1 初始訪問測(cè)試 156
8.3.2 執(zhí)行測(cè)試 163
8.3.3 持久化測(cè)試 165
8.3.4 權(quán)限提升測(cè)試 167
8.3.5 防御規(guī)避測(cè)試 169
8.3.6 發(fā)現(xiàn)測(cè)試 170
8.3.7 命令與控制測(cè)試 171
8.3.8 Invoke-AtomicRedTeam 172
8.4 Quasar RAT 172
8.4.1 Quasar RAT現(xiàn)實(shí)案例 173
8.4.2 執(zhí)行和檢測(cè)Quasar RAT 174
8.4.3 持久化測(cè)試 178
8.4.4 憑據(jù)訪問測(cè)試 180
8.4.5 橫向移動(dòng)測(cè)試 181
8.5 小結(jié) 182
第9章 獵殺對(duì)手 183
9.1 技術(shù)要求 183
9.2 MITRE評(píng)估 183
9.2.1 將APT29數(shù)據(jù)集導(dǎo)入HELK 184
9.2.2 獵殺APT29 185
9.3 使用MITRE CALDERA 205
9.3.1 設(shè)置CALDERA 205
9.3.2 使用CALDERA執(zhí)行仿真計(jì)劃 209
9.4 Sigma規(guī)則 218
9.5 小結(jié) 221
第10章 記錄和自動(dòng)化流程的重要性 222
10.1 文檔的重要性 222
10.1.1 寫好文檔的關(guān)鍵 222
10.1.2 記錄獵殺行動(dòng) 224
10.2 Threat Hunter Playbook 226
10.3 Jupyter Notebook 228
10.4 更新獵殺過程 228
10.5 自動(dòng)化的重要性 228
10.6 小結(jié) 230
第四部分 交流成功經(jīng)驗(yàn)
第11章 評(píng)估數(shù)據(jù)質(zhì)量 232
11.1 技術(shù)要求 232
11.2 區(qū)分優(yōu)劣數(shù)據(jù) 232
11.3 提高數(shù)據(jù)質(zhì)量 234
11.3.1 OSSEM Power-up 236
11.3.2 DeTT&CT 237
11.3.3 Sysmon-Modular 238
11.4 小結(jié) 239
第12章 理解輸出 240
12.1 理解獵殺結(jié)果 240
12.2 選擇好的分析方法的重要性 243
12.3 自我測(cè)試 243
12.4 小結(jié) 245
第13章 定義跟蹤指標(biāo) 246
13.1 技術(shù)要求 246
13.2 定義良好指標(biāo)的重要性 246
13.3 如何確定獵殺計(jì)劃成功 248
13.4 小結(jié) 250
第14章 讓響應(yīng)團(tuán)隊(duì)參與并做好溝通 253
14.1 讓事件響應(yīng)團(tuán)隊(duì)參與進(jìn)來 253
14.2 溝通對(duì)威脅獵殺計(jì)劃成功與否的影響 255
14.3 自我測(cè)試 258
14.4 小結(jié) 259
附錄 獵殺現(xiàn)狀 260
新書資訊