終端安全運營:攻防實戰

奇安信網絡安全部; 奇安信終端安全BU

  • 出版商: 機械工業
  • 出版日期: 2024-06-01
  • 售價: $594
  • 貴賓價: 9.5$564
  • 語言: 簡體中文
  • 頁數: 367
  • 裝訂: 平裝
  • ISBN: 711175588X
  • ISBN-13: 9787111755883
  • 立即出貨 (庫存=1)

買這商品的人也買了...

相關主題

商品描述

內容簡介
這是一本體系化地講解終端安全運營的實戰性著作,由奇安信集團官方出品,
梳理和總結了奇安信在終端安全建設與運營方面積累的多年實戰經驗。希望本書能為你的終端安全保駕護航。
本書既有理論又有實踐,既有方法又有策略,主要包含以下7方面的內容:
?終端安全運營基礎:包括終端的屬性和麵臨的風險,終端安全運營的價值,以及奇安信的終端安全運營思路。
?終端安全運營架構:包括終端安全運營的流程,安全運營工作人員的職責和工作指標,以及完整的安全運營體系的構建等。
?資產管理策略:包括終端資產的有效管理和提升資產管理效率的方法。
?安全防護與回應機制:包括如何建立全面的終端防護和快速回應機制。
?高級攻擊檢測與防禦:探索、檢測和防禦包括APT在內的高級威脅的策略。
?終端安全事件運營:包括終端安全事件的運營流程及其優化,終端安全事件的應急響應流程、技巧和案例複盤。
?有效性驗證和與防實戰:透過自動化的攻擊驗證和常態化的攻防實戰的方式來驗證安全措施的有效性。

目錄大綱

前 言
第1章 端營運基礎 1
1.1 企業端面臨的風險 1
1.2 企業端的兩個屬性 3
1.2.1 工作端的設備屬性 3
1.2.2 端背後人的不確定性 4
1.3 企業端營運的要性 5
1.3.1 營運工作的要性 5
1.3.2 營運工作的要性 5
1.3.3 端營運工作的要性 7
1.4 企業如何有效進行端營運工作 7
1.4.1 體系化禦 8
1.4.2 全場景管控 9
1.4.3 數位化營運 11
1.4.4 實戰化驗證 12
第2章 端營運架構 13
2.1 端營運架構總覽 13
2.2 營運流程 15
2.2.1 建立制度 16
2.2.2 意識宣傳與訓練 19
2.2.3 護與基礎運作 20
2.2.4 威脅建模與入侵偵測 20
2.2.5 實戰攻與有效性驗證 21
2.2.6 事件緊急應變與處置 22
2.2.7 事件複盤與風險治理 22
2.3 營運人員職責及工作指標 22
2.3.1 模擬攻擊隊 23
2.3.2 資產營運 23
2.3.3 基礎營運 24
2.3.4 一線營運 24
2.3.5 二線營運 25
2.3.6 工作指標說明 25
2.4 營運平台 26
2.4.1 端管理平台 27
2.4.2 SOC 平台 31
第3章 端管理軟體推裝與資產管理 41
3.1 端管理軟體推裝 41
3.1.1 安裝端管理軟體的要性 41
3.1.2 端管理軟體推裝挑戰 43
3.1.3 提高端管理軟體的安裝率 44
3.1.4 端管理軟體安裝例 47
3.2 端資產實名登記 50
3.2.1 端資產實名登記的值 50
3.2.2 實現端資產實名登記的措施 51
3.3 端策略與分組管理 51
3.3.1 策略的配置原則 52
3.3.2 分組管理 52
第4章 端護與運作 55
4.1 系統加固 55
4.1.1 端管控 55
4.1.2 漏洞運作 63
4.1.3 基線核查 72
4.2 入口護 102
4.2.1 郵件護 102
4.2.2 下載傳輸護 108
4.2.3 遠程暴力破解護 108
4.3 病毒查殺 109
4.3.1 查殺引擎與查殺機制 110
4.3.2 病毒查殺營運 113
4.4 主動禦 128
4.4.1 主動禦 129
4.4.2 主動禦營運 132
4.5 EDR 135
4.5.1 EDR 的主要功能 135
4.5.2 EDR 日誌採集要求 137
4.5.3 EDR 營運 138
4.6 高級威脅禦 139
4.7 網絡外聯護 140
4.8 基礎威脅類型的偵測與禦 140
4.8.1 遠控木馬偵測與禦 141
4.8.2 勒索病毒偵測與禦 143
4.8.3 挖礦病毒檢測與禦 144
4.8.4 竊密木馬偵測與禦 145
4.8.5 網路攻擊偵測與禦 145
4.8.6 流氓軟體治理與禦 147
第5章 端高階攻擊偵測與禦 149
5.1 端威脅禦需求 149
5.2 基於日誌的威脅建模 150
5.2.1 日誌規則運作 150
5.2.2 複雜攻擊場景建模與偵測 159
5.3 基於攻擊段的威脅偵測與禦 171
5.3.1 初始訪問偵測與禦 171
5.3.2 禦規避偵測與禦 182
5.3.3 權限提升偵測與禦 199
5.3.4 憑證竊取偵測與禦 201
5.3.5 橫向移動偵測與禦 209
5.3.6 持久化檢測與禦 223
5.3.7 指令控制偵測與禦 244
5.4 基於 APT 攻擊組織研究的威脅偵測與禦 248
5.4.1 APT 攻擊組織研究想法 248
5.4.2 APT 攻擊研究案例 1:Saaiwc 組織 249
5.4.3 APT 攻擊研究案例 2:SideCopy 組織 258
第6章 端事件運作 267
6.1 端事件營運流程 267
6.2 端事件緊急應變流程 271
6.2.1 檢測與發現 273
6.2.2 資訊收集 274
6.2.3 止損與抑制 277
6.2.4 與恢復 278
6.2.5 複盤和溯源 279
6.3 端事件回應與複盤案例 282
6.3.1 Fake Telegram 事件 282
6.3.2 Navicat 後門事件 300
6.3.3 Minerd 挖礦木馬事件 320
6.4 端事件營運流程化 332
6.4.1 警報自動下發確認 332
6.4.2 處置動作自動化 333
6.4.3 SOAR 自動化 336
6.4.4 日誌圖檢索 338
6.5 知識圖譜應用 340
6.5.1 領域應用場景 340
6.5.2 營運應用場景 341
6.6 端事件營運成果體現方式 351
6.6.1 事件總結 351
6.6.2 檢測成果總結 353
6.6.3 營運指標體現 353
第7章 有效性驗證與攻實戰 354
7.1 有效性驗證的意義 354
7.2 攻擊日誌重播驗證 355
7.3 攻擊流程自動化驗證 357
7.3.1 攻擊手法知識庫 357
7.3.2 攻擊自動化 359
7.4 常態化攻演練 364
7.4.1 攻擊隊內滲透 364
7.4.2 年度內攻 364
7.4.3 內釣魚測試 366