E-book details

Inżynieria detekcji cyberzagrożeń w praktyce. Planowanie, tworzenie i walidacja mechanizmów wykrywania zagrożeń

Inżynieria detekcji cyberzagrożeń w praktyce. Planowanie, tworzenie i walidacja mechanizmów wykrywania zagrożeń

Megan Roddie, Jason Deyalsingh, Gary J. Katz

Ebook

Efektywny potok detekcji zagrożeń jest niezbędnym elementem programu cyberbezpieczeństwa. W procesach inżynierii detekcji szczególną uwagę należy poświęcić technikom tworzenia i walidacji mechanizmów detekcji. To oczywiste - od ich jakości zależy skuteczność zabezpieczeń w organizacji. Trzeba więc zrozumieć, czym jest inżynieria detekcji i jakie ma znaczenie dla cyberbezpieczeństwa.

Oto przewodnik po inżynierii detekcji, przeznaczony dla inżynierów zabezpieczeń i analityków bezpieczeństwa. Zaprezentowano w nim praktyczną metodologię planowania, budowy i walidacji mechanizmów wykrywania zagrożeń. Opisano zasady pracy z frameworkami służącymi do testowania i uwierzytelniania programu inżynierii detekcji. Książka zawiera przykłady dotyczące zagadnień z całego cyklu, od utworzenia reguły detekcji po jej walidację, a omawianej tematyce towarzyszy bogaty zestaw samouczków, projektów i pytań sprawdzających. To doskonałe źródło wiedzy o zasadach pracy inżyniera detekcji i o ciągłym rozwoju tej dziedziny.

W książce:

  • przebieg procesu inżynierii detekcji
  • budowa laboratorium testowego
  • utrzymywanie mechanizmów detekcji w formie ustandaryzowanego kodu
  • tworzenie mechanizmów detekcji
  • wczesne wykrywanie cyberataków i złośliwej aktywności
  • ścieżki kariery w inżynierii detekcji

Nie oczekuj, że wróg się nie zjawi. Przygotuj się, aby go odpowiednio przyjąć!

O autorach

O recenzentach

Przedmowa

CZĘŚĆ 1. Wprowadzenie do inżynierii detekcji

Rozdział 1. Podstawy inżynierii detekcji

  • Podstawowe pojęcia
    • Unified Kill Chain
    • Framework MITRE ATT&CK
    • Piramida bólu
    • Rodzaje cyberataków
    • Motywacja dla inżynierii detekcji
    • Definicja inżynierii detekcji
    • Ważne cechy wyróżniające
  • Wartość programu inżynierii detekcji
    • Potrzeba zapewnienia lepszej wykrywalności
    • Cechy dobrego wykrywania zagrożeń
    • Korzyści z programu inżynierii detekcji
  • Przewodnik korzystania z tej książki
    • Struktura książki
    • Ćwiczenia praktyczne
  • Podsumowanie

Rozdział 2. Cykl życia inżynierii detekcji

  • Faza 1. Odkrywanie wymagań
    • Charakterystyka kompletnego wymagania mechanizmu detekcji
    • Źródła wymagań dla mechanizmów detekcji
  • Ćwiczenie. Źródła wymagań dotyczących mechanizmów detekcji w Twojej organizacji
  • Faza 2. Selekcja
    • Dotkliwość zagrożenia
    • Dopasowanie mechanizmu detekcji zagrożenia do organizacji
    • Pokrycie zagrożeń mechanizmami detekcji
    • Aktywne eksploity
  • Faza 3. Analiza
    • Określenie źródła danych
    • Ustalenie typów wskaźników wykrycia
    • Kontekst badawczy
    • Ustalenie kryteriów walidacji
  • Faza 4. Programowanie
  • Faza 5. Testowanie
    • Rodzaje danych testowych
  • Faza 6. Wdrażanie
  • Podsumowanie

Rozdział 3. Budowa laboratorium testowego inżynierii detekcji

  • Wymagania techniczne
  • Elastic Stack
    • Wdrażanie systemu Elastic Stack za pomocą Dockera
    • Konfiguracja Elastic Stack
  • Konfiguracja narzędzia Fleet Server
    • Instalacja i konfiguracja systemu Fleet Server
    • Dodatkowe konfiguracje dla komponentu Fleet Server
    • Dodawanie hosta do laboratorium
    • Zasady komponentu Elastic Agent
  • Tworzenie pierwszego mechanizmu detekcji
  • Dodatkowe zasoby
  • Podsumowanie

CZĘŚĆ 2. Tworzenie mechanizmów detekcji

Rozdział 4. Źródła danych inżynierii detekcji

  • Wymagania techniczne
  • Źródła danych i telemetrii
    • Nieprzetworzona telemetria
    • Narzędzia zabezpieczeń
    • Źródła danych MITRE ATT&CK
    • Identyfikacja źródeł danych
  • Analiza problemów i wyzwań związanych ze źródłami danych
    • Kompletność
    • Jakość
    • Terminowość
    • Pokrycie
    • Ćwiczenie. Więcej informacji o źródłach danych
  • Dodawanie źródeł danych
    • Ćwiczenie. Dodawanie źródła danych serwera WWW
  • Podsumowanie
  • Lektura uzupełniająca

Rozdział 5. Analiza wymagań dla mechanizmów detekcji

  • Przegląd faz wymagań dla mechanizmów detekcji
  • Odkrywanie wymagań dla mechanizmów detekcji
    • Narzędzia i procesy
    • Ćwiczenie. Odkrywanie wymagań w organizacji
  • Selekcja wymagań dla mechanizmów detekcji
    • Dotkliwość zagrożenia
    • Dopasowanie zagrożenia do organizacji
    • Pokrycie wymagań dla mechanizmów detekcji
    • Aktywne eksploity
    • Obliczanie priorytetu
  • Analiza wymagań dla mechanizmów detekcji
  • Podsumowanie

Rozdział 6. Tworzenie mechanizmów detekcji przy użyciu wskaźników naruszeń zabezpieczeń

  • Wymagania techniczne
  • Wykorzystanie wskaźników naruszenia zabezpieczeń
    • Przykładowy scenariusz. Identyfikacja kampanii IcedID przy użyciu wskaźników
  • Ćwiczenie
    • Instalacja i konfigurowanie systemu Sysmon jako źródła danych
    • Wykrywanie skrótów
    • Mechanizmy detekcji wskaźników sieciowych
    • Podsumowanie ćwiczenia
  • Podsumowanie
  • Lektura uzupełniająca

Rozdział 7. Opracowywanie mechanizmów detekcji opartych na wskaźnikach behawioralnych

  • Wymagania techniczne
  • Wykrywanie narzędzi przeciwnika
    • Przykładowy scenariusz. Użycie narzędzia PsExec
  • Wykrywanie taktyk, technik i procedur (TTP)
    • Przykładowy scenariusz. Technika omijania kontroli znacznika sieci
  • Podsumowanie

Rozdział 8. Tworzenie dokumentacji i potoki mechanizmów detekcji

  • Dokumentowanie mechanizmu detekcji
    • Ćwiczenie. Dokumentowanie mechanizmu detekcji
  • Analiza repozytorium mechanizmów detekcji
    • Mechanizm detekcji jako kod
    • Wyzwania związane z tworzeniem potoku mechanizmu detekcji
    • Ćwiczenie. Publikowanie reguły przy użyciu projektu mechanizmów detekcji Elastic
  • Podsumowanie

CZĘŚĆ 3. Walidacja mechanizmów detekcji

Rozdział 9. Walidacja mechanizmów detekcji

  • Wymagania techniczne
  • Czym jest proces walidacji?
  • Na czym polegają ćwiczenia zespołu purple team?
  • Symulowanie aktywności przeciwnika
    • Atomic Red Team
    • CALDERA
    • Ćwiczenie. Walidacja mechanizmów detekcji dla pojedynczej techniki z wykorzystaniem Atomic Red Team
    • Ćwiczenie. Walidacja mechanizmów detekcji dla wielu technik z wykorzystaniem systemu CALDERA
  • Korzystanie z wyników walidacji
    • Pomiar pokrycia zagrożeń mechanizmami detekcji
  • Podsumowanie
  • Lektura uzupełniająca

Rozdział 10. Wykorzystanie wiedzy o zagrożeniach

  • Wymagania techniczne
  • Przegląd zagadnień związanych z wiedzą o zagrożeniach
    • Wiedza o zagrożeniach typu open source
    • Wewnętrzne źródła wiedzy o zagrożeniach
    • Zbieranie wiedzy o zagrożeniach
  • Wiedza o zagrożeniach w cyklu życia inżynierii detekcji
    • Odkrywanie wymagań
    • Selekcja
    • Analiza
  • Wiedza o zagrożeniach na potrzeby inżynierii detekcji w praktyce
    • Przykład. Wykorzystywanie na potrzeby inżynierii detekcji wpisów na blogach z informacjami o zagrożeniach
    • Przykład. Wykorzystanie systemu VirusTotal na potrzeby inżynierii detekcji
  • Ocena zagrożeń
    • Przykład. Wykorzystanie oceny zagrożeń na potrzeby inżynierii detekcji
  • Zasoby i dalsza lektura
    • Źródła i pojęcia związane z wiedzą o zagrożeniach
    • Skanery online i piaskownice
    • MITRE ATT&CK
  • Podsumowanie

CZĘŚĆ 4. Metryki i zarządzanie

Rozdział 11. Zarządzanie wydajnością

  • Wprowadzenie do zarządzania wydajnością
  • Ocena dojrzałości mechanizmu detekcji
  • Pomiar wydajności programu inżynierii detekcji
  • Pomiar skuteczności programu inżynierii detekcji
    • Priorytetyzacja prac związanych z detekcją
    • Trafność, hałaśliwość i czułość
  • Obliczanie skuteczności mechanizmu detekcji
    • Metryki pokrycia o niskiej wierności
    • Automatyczna walidacja
    • Metryki pokrycia o wysokiej wierności
  • Podsumowanie
  • Lektura uzupełniająca

CZĘŚĆ 5. Kariera w inżynierii detekcji

Rozdział 12. Wskazówki dotyczące kariery w inżynierii detekcji

  • Zdobycie pracy w branży inżynierii detekcji
    • Oferty pracy
    • Rozwijanie umiejętności
  • Inżynier detekcji jako zawód
    • Role i obowiązki inżyniera detekcji
  • Przyszłość inżynierii detekcji
    • Powierzchnie ataku
    • Widoczność
    • Możliwości urządzeń zabezpieczeń
    • Uczenie maszynowe
    • Współdzielenie metodologii ataków
    • Przeciwnik
    • Człowiek
  • Podsumowanie
  • Title: Inżynieria detekcji cyberzagrożeń w praktyce. Planowanie, tworzenie i walidacja mechanizmów wykrywania zagrożeń
  • Author: Megan Roddie, Jason Deyalsingh, Gary J. Katz
  • Original title: Practical Threat Detection Engineering: A hands-on guide to planning, developing, and validating detection capabilities
  • Translation: Radosław Meryk
  • ISBN: 978-83-289-0903-8, 9788328909038
  • Date of issue: 2024-05-14
  • Format: Ebook
  • Item ID: indecy
  • Publisher: Helion