Активное выявление угроз с Elastic Stack. Построение надежного стека безопасности: предотвращение, обнаружение и оповещение
معرفی کتاب «Активное выявление угроз с Elastic Stack. Построение надежного стека безопасности: предотвращение, обнаружение и оповещение» نوشتهٔ Эндрю Пиз، منتشرشده توسط نشر ДМК Пресс در سال 2022. این کتاب در 5 صفحه، فرمت pdf، زبان انگلیسی ارائه شده است.
Elastic Stack - мощный инструмент для предотвращения, обнаружения и реагирования на угрозы. Эта книга покажет, как наилучшим образом использовать его для обеспечения оптимальной защиты от киберугроз. Вы ознакомитесь с основными компонентами Elastic Stack, освоите аналитические модели и методики целенаправленного поиска угроз и научитесь делиться логикой их обнаружения с партнерами и коллегами. Далее вы сможете развернуть Elastic Stack для мониторинга собственной сети и ресурсов, а также использовать панель визуализации данных Kibana для выявления злоумышленников в вашей сети. Книга предназначена для всех читателей, которые интересуются тематикой активной кибербезопасности. Об авторе О рецензентах Предисловие Для кого эта книга Какие темы охватывает эта книга Как получить максимальную отдачу от этой книги Скачивание исходного кода примеров Условные обозначения и соглашения, принятые в книге Список опечаток Нарушение авторских прав Часть I Введение в активное выявление угроз, аналитические модели и методики поиска Глава 1 Введение в анализ киберугроз, аналитические модели и фреймворки 1.1. Что такое активное выявление угроз? 1.2. Оперативный конвейер 1.3. Cyber Kill Chain от компании Lockheed Martin 1.3.1. Разведка 1.3.2. Вооружение 1.3.3. Доставка 1.3.4. Использование уязвимости 1.3.5. Установка 1.3.6. Управление и контроль 1.3.7. Достижение цели 1.4. Матрицы ATT&CK MITRE 1.5. Алмазная модель 1.5.1. Противник (adversary) 1.5.2. Инфраструктура (infrastructure) 1.5.3. Жертва (victim) 1.5.4. Возможности (capability) 1.5.5. Мотивация (motivation) 1.5.6. Направленность 1.6. Стратегическая, оперативная и тактическая разведка 1.7. Заключение 1.8. Вопросы для самопроверки 1.9. Дополнительное чтение Глава 2 Концепции, методы и приемы активного выявления угроз 2.1. Введение в активное выявление угроз 2.1.1. Критерии успеха 2.1.2. Шесть D 2.2. Пирамида боли 2.2.1. Значения хеша 2.2.2. IP-адреса 2.2.3. Доменные имена 2.2.4. Артефакты сети/хоста 2.5.5. Инструменты 2.2.6. ТТП 2.3. Профилирование данных 2.4. Ожидаемые данные 2.4.1. Типы обнаружения 2.4.2. Машинное обучение 2.5. Недостающие данные 2.6. Продолжительность жизни данных 2.7. Индикаторы 2.8. Жизненный цикл данных 2.8.1. Ухудшение индикатора 2.8.2. Отвергание 2.8.3. Цепочка устаревания 2.8.4. Модель HIPESR 2.9. Заключение 2.10. Вопросы для самопроверки 2.11. Дополнительное чтение Часть II Использование Elastic Stack для сбора и анализа данных Глава 3 Введение в Elastic Stack 3.1. Технические требования 3.2. Представляем Logstash 3.2.1. Подключаемые модули ввода 3.2.2. Подключаемые модули фильтров 3.2.3. Подключаемые модули вывода 3.3. Сердце стека – Elasticsearch 3.3.1. Подача данных в Elasticsearch 3.4. Elastic Beats и Elastic Agent 3.4.1. Filebeat 3.4.2. Packetbeat 3.4.3. Winlogbeat 3.4.4. Elastic Agent 3.5. Просмотр данных Elasticsearch с помощью Kibana 3.5.1. Использование Kibana для просмотра данных Elasticsearch 3.6. Решения Elastic 3.6.1. Enterprise Search 3.6.2. Observability 3.6.3. Security 3.7. Заключение 3.8. Вопросы для самопроверки 3.9. Дополнительное чтение Глава 4 Создание учебной лаборатории 4.1. Технические требования 4.2. Архитектура лаборатории 4.2.1. Гипервизор 4.3. Создание Elastic-машины 4.3.1. Создание виртуальной машины Elastic 4.3.2. Установка CentOS 4.3.3. Включение внутреннего сетевого интерфейса 4.3.4. Установка гостевых расширений VirtualBox 4.4. Заключение 4.5. Вопросы для самопроверки Глава 5 Создание учебной лаборатории (продолжение) 5.1. Технические требования 5.2. Установка и настройка Elasticsearch 5.2.1. Добавление репозитория Elastic 5.2.2. Установка Elasticsearch 5.2.3. Настройка механизма авторизации Elasticsearch 5.3. Установка Elastic Agent 5.4. Установка и настройка Kibana 5.4.1. Установка Kibana 5.4.2. Подключение Kibana к Elasticsearch 5.4.3. Подключение к Kibana из браузера 5.5. Включаем механизм обнаружения и Fleet 5.5.1. Механизм обнаружения 5.5.2. Fleet 5.5.3. Регистрация сервера Fleet 5.6. Создание машины-жертвы 5.6.1. Развертывание операционной системы 5.6.2 Создание виртуальной машины 5.6.3. Установка Windows 5.7. Модуль Filebeat Threat Intel 5.8. Заключение 5.9. Вопросы для самопроверки 5.10. Дополнительное чтение Глава 6 Сбор данных с помощью Beats и Elastic Agent 6.1. Технические требования 6.2. Поток данных 6.3. Настройка Winlogbeat и Packetbeat 6.3.1. Установка Winlogbeat и Packetbeat 6.4. Настройка Sysmon для сбора данных с конечных точек 6.5. Настройка Elastic Agent 6.6. Развертывание Elastic Agent 6.7. Заключение 6.8. Вопросы для самопроверки 6.9. Дополнительное чтение Глава 7 Использование Kibana для изучения и визуализации данных 7.1. Технические требования 7.2. Приложение Discover 7.2.1. Селектор пространств 7.2.2. Панель поиска 7.2.3. Контроллер фильтра 7.2.4. Селектор шаблона индекса 7.2.5. Строка поиска по имени поля 7.2.6. Поиск по типу поля 7.2.7. Доступные поля 7.2.8. Панель поиска Kibana 7.2.9. Селектор языка запросов 7.2.10. Выбор даты 7.2.11. Меню действий 7.2.12. Информация о поддержке 7.2.13. Кнопка поиска/обновления 7.2.14. Окно времени 7.2.15. Просмотр событий 7.2.16. Упражнение 7.3. Языки запросов 7.3.1. Lucene 7.3.2. KQL 7.3.3. EQL 7.4. Приложение Visualize 7.4.1. Соображения о визуализации 7.4.2. Таблица данных 7.4.3. Гистограммы 7.4.4. Круговые диаграммы 7.4.5. Линейные диаграммы 7.4.6. Другие визуализации 7.4.7. Технология визуализации Lens 7.4.8. Упражнение 7.5. Приложение Dashboard 7.6. Заключение 7.7. Вопросы для самопроверки 7.8. Дополнительное чтение Глава 8 Приложение Elastic Security 8.1. Технические требования 8.2. Обзор приложения Elastic Security 8.3. Механизм обнаружения 8.3.1. Управление правилами обнаружения 8.3.2. Создание правила обнаружения 8.3.3. Шкала времени трендов 8.4. Раздел Hosts 8.5. Сеть 8.6. Шкалы времени 8.7. Кейсы 8.8. Администрирование 8.9. Заключение 8.10. Вопросы для самопроверки 8.11. Дополнительное чтение Часть III Внедрение активного выявления угроз Глава 9 Использование Kibana для анализа данных с целью поиска противников 9.1. Технические требования 9.2. Связывание событий с временной шкалой 9.3. Использование наблюдений для направленного отслеживания угроз 9.3.1. Возврат к началу для поиска пропущенных заражений 9.4. Создание индивидуальной логики обнаружения 9.5. Заключение 9.6. Вопросы для самопроверки 9.7. Дополнительное чтение Глава 10 Активное выявление угроз в составе SecOps 10.1. Технические требования 10.2. Обзор реагирования на инциденты 10.2.1. Подготовка 10.2.2. Обнаружение и анализ 10.2.3. Сдерживание 10.2.4. Изгнание 10.2.5. Восстановление 10.2.6. Извлечение уроков 10.3. Использование информации о выявлении угроз для содействия IR 10.4. Использование IR и выявления угроз для приоритизации мер безопасности 10.4.1. Цепочка Lockheed Martin Cyber Kill 10.5. Использование внешней информации в активном выявлении угроз 10.6. Заключение 10.7. Вопросы для самопроверки 10.8. Дополнительное чтение Глава 11 Обогащение данных для создания оперативной информации 11.1. Технические требования 11.2. Расширение возможностей анализа с помощью инструментов с открытым исходным кодом 11.2.1. Навигатор MITRE ATT&CK 11.3. Обогащение событий при помощи сторонних инструментов 11.3.1. IPinfo 11.3.2. Инструмент ThreatFox от Abuse.ch 11.3.3. VirusTotal 11.4. Обогащение данных в Elastic 11.5. Заключение 11.6. Вопросы для самопроверки 11.7. Дополнительное чтение Глава 12 Обмен информацией и анализ 12.1. Технические требования 12.2. Elastic Common Schema 12.2.1. Единообразное описание данных 12.2.2. Сбор данных без ECS 12.3. Импорт и экспорт сохраненных объектов Kibana 12.3.1. Тип 12.3.2. Теги 12.3.3. Экспорт 12.3.4. Импорт 12.4. Обнародование логики обнаружения в сообществе 12.5. Заключение 12.6. Вопросы для самопроверки 12.7. Дополнительное чтение Ответы на вопросы для самопроверки Предметный указатель Get hands-on with advanced threat analysis techniques by implementing Elastic Stack security features with the help of practical examples Key Features Get started with Elastic Security configuration and features Understand how to use Elastic Stack features to provide optimal protection against threats Discover tips, tricks, and best practices to enhance the security of your environment Book Description Elastic Security is an open solution that equips professionals with the tools to prevent, detect, and respond to threats. Threat Hunting with Elastic Stack will show you how to make the best use of Elastic Security to provide optimal protection against cyber threats. With this book, security practitioners working with Kibana will be able to put their knowledge to work and detect malicious adversary activity within their contested network. You'll take a hands-on approach to learning the implementation and methodologies that will have you up and running in no time. Starting with the foundational parts of the Elastic Stack, you'll explore analytical models and how they support security response and finally leverage Elastic technology to perform defensive cyber operations. You'll then cover threat intelligence analytical models, threat hunting concepts and methodologies, and how to leverage them in cyber operations. Further, you'll apply the knowledge you've gained to build and configure your own Elastic Stack, upload data, and explore that data directly as well as by using the built-in tools in the Kibana app to hunt for nefarious activities. By the end of this book, you'll be able to build an Elastic Stack for self-training or to monitor your own network and/or assets and use Kibana to monitor and hunt for adversaries within your network. What you will learn Explore cyber threat intelligence analytical models and hunting methodologies Build and configure Elastic Stack for cyber threat hunting Leverage the Elastic endpoint and Beats for data collection Perform security data analysis using the Kibana Discover, Visualize, and Dashboard apps Execute hunting and response operations using the Kibana Security app Use Elastic Common Schema to ensure data uniformity across organizations Who this book is for Security analysts, cybersecurity enthusiasts, information systems security staff, or anyone who works with the Elastic Stack for security monitoring, incident response, intelligence analysis, or threat hunting will find this book useful. Basic working k.. Learn advanced threat analysis techniques in practice by implementing Elastic Stack security featuresKey FeaturesGet started with Elastic Security configuration and featuresLeverage Elastic Stack features to provide optimal protection against threatsDiscover tips, tricks, and best practices to enhance the security of your environmentBook DescriptionThreat Hunting with Elastic Stack will show you how to make the best use of Elastic Security to provide optimal protection against cyber threats. With this book, security practitioners working with Kibana will be able to put their knowledge to work and detect malicious adversary activity within their contested network.You'll take a hands-on approach to learning the implementation and methodologies that will have you up and running in no time. Starting with the foundational parts of the Elastic Stack, you'll explore analytical models and how they support security response and finally leverage Elastic technology to perform defensive cyber operations.You'll then cover threat intelligence analytical models, threat hunting concepts and methodologies, and how to leverage them in cyber operations. After you've mastered the basics, you'll apply the knowledge you've gained to build and configure your own Elastic Stack, upload data, and explore that data directly as well as by using the built-in tools in the Kibana app to hunt for nefarious activities.By the end of this book, you'll be able to build an Elastic Stack for self-training or to monitor your own network and/or assets and use Kibana to monitor and hunt for adversaries within your network.What you will learnExplore cyber threat intelligence analytical models and hunting methodologiesBuild and configure Elastic Stack for cyber threat huntingLeverage the Elastic endpoint and Beats for data collectionPerform security data analysis using the Kibana Discover, Visualize, and Dashboard appsExecute hunting and response operations using the Kibana Security appUse Elastic Common Schema to ensure data uniformity across organizationsWho this book is forSecurity analysts, cybersecurity enthusiasts, information systems security staff, or anyone who works with the Elastic Stack for security monitoring, incident response, intelligence analysis, or threat hunting will find this book useful. Basic working knowledge of IT security operations and network and endpoint systems is necessary to get started. Elastic security offers enhanced threat hunting capabilities to build active defense strategies. Complete with practical examples and tips, this easy-to-follow guide will help you enhance your security skills by leveraging the Elastic Stack for security monitoring, incident response, intelligence analysis, or threat hunting.
دانلود کتاب Активное выявление угроз с Elastic Stack. Построение надежного стека безопасности: предотвращение, обнаружение и оповещение