ATT&CK框架实践指南(第2版)电子书

内容简介

推荐序

推荐语

序言

前言

第一部分 ATT&CK入门篇

第1章 潜心开始MITRE ATT&CK之旅

1.1 MITRE ATT&CK是什么

1.2 ATT&CK框架七大对象

1.3 ATT&CK框架实例说明

第2章 基于ATT&CK框架的扩展知识库

2.1 针对容器的ATT&CK攻防知识库

2.2 针对Kubernetes的攻防知识库

2.3 针对内部威胁的TTPs攻防知识库

2.4 针对网络安全对策的知识图谱MITRE D3FEND

2.5 针对软件供应链的ATT&CK框架OSC&R

第二部分 ATT&CK提高篇

第3章 十大攻击组织/恶意软件的分析与检测

3.1 TA551攻击行为的分析与检测

3.2 漏洞利用工具Cobalt Strike的分析与检测

3.3 银行木马Qbot的分析与检测

3.4 银行木马lcedlD的分析与检测

3.5 凭证转储工具Mimikatz的分析与检测

3.6 恶意软件Shlayer的分析与检测

3.7 银行木马Dridex的分析与检测

3.8 银行木马Emotet的分析与检测

3.9 银行木马TrickBot的分析与检测

3.10 蠕虫病毒Gamarue的分析与检测

第4章 十大高频攻击技术的分析与检测

4.1 命令和脚本解析器（T1059）的分析与检测

4.2 利用已签名二进制文件代理执行（T1218）的分析与检测

4.3 创建或修改系统进程（T1543）的分析与检测

4.4 计划任务/作业（T1053）的分析与检测

4.5 OS凭证转储（T1003）的分析与检测

4.6 进程注入（T1055）的分析与检测

4.7 混淆文件或信息（T1027）的分析与检测

4.8 入口工具转移（T1105）的分析与检测

4.9 系统服务（T1569）的分析与检测

4.10 伪装（T1036）的分析与检测

第5章 红队视角：典型攻击技术的复现

5.1 基于本地账户的初始访问

5.2 基于WMI执行攻击技术

5.3 基于浏览器插件实现持久化

5.4 基于进程注入实现提权

5.5 基于Rootkit实现防御绕过

5.6 基于暴力破解获得凭证访问权限

5.7 基于操作系统程序发现系统服务

5.8 基于SMB实现横向移动

5.9 自动化收集内网数据

5.10 通过命令与控制通道传递攻击载荷

5.11 成功窃取数据

5.12 通过停止服务造成危害

第6章 蓝队视角：攻击技术的检测示例

6.1 执行：T1059命令和脚本解释器的检测

6.2 持久化：T1543.003创建或修改系统进程（Windows服务）的检测

6.3 权限提升：T1546.015组件对象模型劫持的检测

6.4 防御绕过：T1055.001 DLL注入的检测

6.5 凭证访问：T1552.002注册表中的凭证的检测

6.6 发现：T1069.002域用户组的检测

6.7 横向移动：T1550.002哈希传递攻击的检测

6.8 收集：T1560.001通过程序压缩的检测

第7章 不同形式的攻击模拟

7.1 基于红蓝对抗的全流程攻击模拟

7.2 微模拟攻击的概述与应用

第三部分 ATT&CK场景与工具篇

第8章 ATT&CK应用工具与应用项目

8.1 ATT&CK四个关键项目工具

8.2 ATT&CK实践应用项目

第9章 ATT&CK四大实践场景

9.1 ATT&CK的四大使用场景

9.2 ATT&CK实践的常见误区

第四部分 ATT&CK运营实战篇

第10章 数据源是应用ATT&CK的前提

10.1 当前ATT&CK数据源急需解决的问题

10.2 改善ATT&CK数据源的使用情况

10.3 ATT&CK数据源的标准化定义与运用示例

10.4 数据源在安全运营中的运用

第11章 MITRE ATT&CK映射实践

11.1 将事件报告映射到MITRE ATT&CK

11.2 将原始数据映射到MITRE ATT&CK

11.3 映射到MITRE ATT&CK时的常见错误与偏差

11.4 通过MITRE ATT&CK编写事件报告

11.5 ATT&CK for ICS的映射建议

第12章 基于ATT&CK的安全运营

12.1 基于ATT&CK的运营流程

12.2 基于ATT&CK的运营评估

第13章 基于ATT&CK的威胁狩猎

13.1 ATT&CK让狩猎过程透明化

13.2 基于TTPs的威胁狩猎

13.3 基于重点战术的威胁狩猎

第14章 多行业的威胁狩猎实战

14.1 金融行业的威胁狩猎

14.2 企业机构的威胁狩猎

第五部分 ATT&CK生态篇

第15章 攻击行为序列数据模型Attack Flow

15.1 Attack Flow的组成要素

15.2 Attack Flow用例

15.3 Attack Flow的使用方法

第16章 主动作战框架MITRE Engage

16.1 MITRE Engage介绍

16.2 MITRE Engage矩阵入门实践

第17章 ATT&CK测评

17.1 测评方法

17.2 测评流程

17.3 测评内容

17.4 测评结果

17.5 总结

附录A ATT&CK战术及场景实践

附录B ATT&CK版本更新情况