网络安全监控实战 深入理解事件检测与响应PDF电子书下载
- 电子书积分:11 积分如何计算积分?
- 作 者:(美)理查德·贝特利奇(RICHARDBEJTLICH)著;蒋蓓,姚领田,李潇,张建译
- 出 版 社:北京:机械工业出版社
- 出版年份:2015
- ISBN:9787111498650
- 页数:280 页
第一部分 准备开始 2
第1章 网络安全监控基本原理 2
1.1 NSM简介 3
1.1.1 NSM阻止入侵吗 3
1.1.2 NSM和持续监控的区别 6
1.1.3 NSM与其他方法相比如何呢 7
1.1.4 NSM为什么有效 8
1.1.5 如何配置NSM 8
1.1.6 NSM何时无效 10
1.1.7 NSM合法吗 10
1.1.8 在NSM作业期间如何保护用户隐私 11
1.2 一个简单的NSM测试 11
1.3 NSM数据的范围 12
1.3.1 完整内容数据 13
1.3.2 提取的内容数据 15
1.3.3 会话数据 17
1.3.4 事务数据 18
1.3.5 统计数据 19
1.3.6 元数据 21
1.3.7 警报数据 23
1.4 所有这些数据的关键是什么 25
1.5 NSM的缺点 26
1.6 在哪购买NSM 26
1.7 到哪里寻求支持或更多信息 27
1.8 结论 27
第2章 收集网络流量:访问、存储和管理 28
2.1 试验性NSM系统的网络示例 28
2.1.1 简单网络中的网络流 29
2.1.2 NSM的潜在位置 32
2.2 IP地址与网络地址转换 33
2.2.1 网络块 33
2.2.2 IP地址分配 34
2.2.3 地址转换 34
2.3 选择实现网络可见性的最佳位置 37
2.3.1 观察DMZ网络流量的位置 37
2.3.2 观察无线网络和内网流量的位置 37
2.4 对流量的物理访问 39
2.4.1 用交换机实现流量监控 39
2.4.2 使用网络窃听器 40
2.4.3 直接在客户端或服务器上捕获流量 40
2.5 选择NSM平台 41
2.6 10条NSM平台管理建议 42
2.7 结论 43
第二部分 SO部署 46
第3章 单机NSM部署与安装 46
3.1 单机或服务器加传感器 46
3.2 选择如何将SO代码安装到硬件上 49
3.3 安装单机系统 50
3.3.1 将SO安装到硬盘上 50
3.3.2 配置SO软件 53
3.3.3 选择管理接口 55
3.3.4 安装NSM软件组件 56
3.3.5 检查安装 59
3.4 结论 61
第4章 分布式部署 62
4.1 使用SO的.iso映像安装SO服务器 62
4.1.1 关于SO服务器的一些考虑 63
4.1.2 创建SO服务器 63
4.1.3 配置SO服务器 64
4.2 使用SO的.iso映像安装SO传感器 66
4.2.1 配置SO传感器 66
4.2.2 完成配置 68
4.2.3 验证传感器正在工作 68
4.2.4 验证autossh隧道正在工作 69
4.3 使用PPA创建SO服务器 69
4.3.1 安装Ubuntu服务器作为SO服务器操作系统 70
4.3.2 选择静态IP地址 71
4.3.3 更新软件 73
4.3.4 通过PPA配置SO服务器 74
4.4 使用PPA创建SO传感器 75
4.4.1 安装Ubuntu服务器作为SO传感器操作系统 75
4.4.2 将系统配置为传感器 77
4.4.3 运行设置向导 78
4.5 结论 81
第5章 SO平台的日常管理 82
5.1 及时更新SO 82
5.1.1 通过GUI更新 82
5.1.2 通过命令行更新 83
5.2 限制对SO的访问 84
5.2.1 通过SOCKS代理连接 85
5.2.2 改变防火墙策略 86
5.3 管理SO数据存储 87
5.3.1 管理传感器存储 88
5.3.2 检查数据库驱动器的使用 88
5.3.3 管理Sguil数据库 89
5.3.4 跟踪磁盘使用 89
5.4 结论 90
第三部分 工具 92
第6章 命令行下的数据包分析工具 92
6.1 SO工具种类 92
6.1.1 SO数据表示工具 92
6.1.2 SO数据收集工具 93
6.1.3 SO数据传送工具 93
6.2 运行Tcpdump 94
6.2.1 用Tcpdump显示、写入和读取流量 95
6.2.2 使用Tcpdump过滤器 97
6.2.3 从Tcpdump输出中提取细节 99
6.2.4 用Tcpdump研究完整内容数据 99
6.3 使用Dumpcap和Tshark 100
6.3.1 运行Tshark 101
6.3.2 运行Dumpcap 101
6.3.3 使用Tshark分析Dumpcap捕获的流量 102
6.3.4 对Tshark使用显示过滤器 103
6.3.5 Tshark显示过滤器应用示例 105
6.4 运行Argus和Ra客户端 106
6.4.1 停止及启动Argus 106
6.4.2 Argus文件格式 107
6.4.3 研究Argus数据 107
6.5 结论 110
第7章 图形化数据包分析工具 111
7.1 使用Wireshark 111
7.1.1 运行Wireshark 111
7.1.2 在Wireshark中查看数据包捕获 112
7.1.3 修改默认的Wireshark布局 112
7.1.4 Wireshark一些有益的特性 115
7.2 使用Xplico 121
7.2.1 运行Xplico 122
7.2.2 创建Xplico实例和会话 123
7.2.3 处理网络流量 123
7.2.4 检查解码的流量 124
7.2.5 获取元数据和汇总流量 126
7.3 使用NetworkMiner检查内容 127
7.3.1 运行NetworkMiner 127
7.3.2 收集和组织流量细节 128
7.3.3 描绘内容 130
7.4 结论 131
第8章 NSM控制台 132
8.1 以NSM为中心查看网络流量 132
8.2 使用Sguil 133
8.2.1 运行Sguil 134
8.2.2 Sguil的6个关键功能 135
8.3 使用Squert 144
8.4 使用Snorby 145
8.5 使用ELSA 148
8.6 结论 151
第四部分 NSM实践 154
第9章 NSM操作 154
9.1 企业安全周期 154
9.1.1 规划阶段 155
9.1.2 抵抗阶段 155
9.1.3 检测和响应阶段 155
9.2 收集、分析、升级和解决 156
9.2.1 收集 156
9.2.2 分析 159
9.2.3 升级 162
9.2.4 解决 164
9.3 补救 167
9.3.1 使用NSM改进安全 167
9.3.2 创建CIRT 168
9.4 结论 169
第10章 服务器端攻击 170
10.1 服务器端攻击的定义 170
10.2 服务器端攻击实战 171
10.2.1 启动Sguil 172
10.2.2 从Sguil查询会话数据 173
10.2.3 再谈警报数据 176
10.2.4 使用Tshark检查完整内容数据 178
10.2.5 理解后门 180
10.2.6 入侵者做了什么 181
10.2.7 入侵者还做了什么 184
10.3 浏览会话数据 185
10.3.1 搜索Bro DNS日志 186
10.3.2 搜索Bro SSH日志 187
10.3.3 搜索BroFTP日志 188
10.3.4 解码遭窃的敏感数据 190
10.3.5 提取被盗的归档 191
10.4 后退一步 192
10.4.1 阶段1总结 192
10.4.2 阶段2总结 192
10.4.3 后续步骤 193
10.5 结论 193
第11章 客户端攻击 194
11.1 客户端攻击的定义 194
11.2 客户端攻击实战 195
11.2.1 获取用户的事件报告 196
11.2.2 使用ELSA开始分析 197
11.2.3 查找丢失的流量 201
11.3 分析Bro dns.log文件 202
11.4 检查目的端口 204
11.5 研究命令控制通道 206
11.5.1 初始访问 207
11.5.2 改善shell 211
11.5.3 总结阶段1 212
11.5.4 转向另一个受害者 212
11.5.5 安装隐秘隧道 213
11.5.6 枚举受害者 214
11.5.7 总结阶段2 215
11.6 结论 215
第12章 扩展SO 217
12.1 使用Bro跟踪可执行文件 217
12.1.1 用Bro计算下载的可执行文件的散列 217
12.1.2 向VirusTotal提交散列 218
12.2 使用Bro从流量中提取二进制程序 219
12.2.1 配置Bro从流量中提取二进制程序 220
12.2.2 收集流量来测试Bro 221
12.2.3 测试Bro:从HTTP流量中提取二进制程序 222
12.2.4 研究从HTTP中提取的二进制程序 224
12.2.5 测试Bro:从FTP流量中提取二进制程序 224
12.2.6 研究从FTP中提取的二进制程序 226
12.2.7 向VirusTotal提交散列和二进制程序 226
12.2.8 重启Bro 228
12.3 使用APT1情报 230
12.3.1 使用APT1模块 230
12.3.2 安装APT1模块 232
12.3.3 生成流量来测试APT1模块 232
12.3.4 测试APT1模块 233
12.4 报告恶意二进制程序的下载 235
12.4.1 使用Team Cymru的MalwareHash Registry 235
12.4.2 MHR和SO:默认有效 236
12.4.3 MHR和SO与恶意程序下载 237
12.4.4 识别二进制程序 238
12.5 结论 240
第13章 代理与校验和 241
13.1 代理 241
13.1.1 代理与可见性 242
13.1.2 处理生产网络中的代理 245
13.2 校验和 246
13.2.1 好的校验和 246
13.2.2 坏的校验和 246
13.2.3 使用Tshark识别好的和坏的校验和 247
13.2.4 坏的校验和如何产生 249
13.2.5 Bro与坏的校验和 249
13.2.6 设置Bro忽略坏的校验和 251
13.3 结论 253
第14章 总论 254
14.1 云计算 254
14.1.1 云计算的挑战 255
14.1.2 云计算的好处 256
14.2 工作流、度量与协作 257
14.2.1 工作流和度量 257
14.2.2 协作 258
14.3 结论 259
附录 SO脚本与配置 260
- 《计算机网络与通信基础》谢雨飞,田启川编著 2019
- 《中国铁路人 第三届现实主义网络文学征文大赛一等奖》恒传录著 2019
- 《情报学 服务国家安全与发展的现代情报理论》赵冰峰著 2018
- 《信息系统安全技术管理策略 信息安全经济学视角》赵柳榕著 2020
- 《Maya 2018完全实战技术手册》来阳编著 2019
- 《Python3从入门到实战》董洪伟 2019
- 《危险化学品经营单位主要负责人和安全生产管理人员安全培训教材》李隆庭,徐一星主编 2012
- 《大数据Hadoop 3.X分布式处理实战》吴章勇,杨强 2020
- 《星空摄影后期实战》阿五在路上著 2020
- 《半小时漫画股票实战法》财经杂质著 2019
- 《SQL与关系数据库理论》(美)戴特(C.J.Date) 2019
- 《魔法销售台词》(美)埃尔默·惠勒著 2019
- 《看漫画学钢琴 技巧 3》高宁译;(日)川崎美雪 2019
- 《优势谈判 15周年经典版》(美)罗杰·道森 2018
- 《社会学与人类生活 社会问题解析 第11版》(美)James M. Henslin(詹姆斯·M. 汉斯林) 2019
- 《海明威书信集:1917-1961 下》(美)海明威(Ernest Hemingway)著;潘小松译 2019
- 《迁徙 默温自选诗集 上》(美)W.S.默温著;伽禾译 2020
- 《上帝的孤独者 下 托马斯·沃尔夫短篇小说集》(美)托马斯·沃尔夫著;刘积源译 2017
- 《巴黎永远没个完》(美)海明威著 2017
- 《剑桥国际英语写作教程 段落写作》(美)吉尔·辛格尔顿(Jill Shingleton)编著 2019
- 《指向核心素养 北京十一学校名师教学设计 英语 七年级 上 配人教版》周志英总主编 2019
- 《北京生态环境保护》《北京环境保护丛书》编委会编著 2018
- 《高等教育双机械基础课程系列教材 高等学校教材 机械设计课程设计手册 第5版》吴宗泽,罗圣国,高志,李威 2018
- 《指向核心素养 北京十一学校名师教学设计 英语 九年级 上 配人教版》周志英总主编 2019
- 《高等院校旅游专业系列教材 旅游企业岗位培训系列教材 新编北京导游英语》杨昆,鄢莉,谭明华 2019
- 《中国十大出版家》王震,贺越明著 1991
- 《近代民营出版机构的英语函授教育 以“商务、中华、开明”函授学校为个案 1915年-1946年版》丁伟 2017
- 《新工业时代 世界级工业家张毓强和他的“新石头记”》秦朔 2019
- 《智能制造高技能人才培养规划丛书 ABB工业机器人虚拟仿真教程》(中国)工控帮教研组 2019
- 《AutoCAD机械设计实例精解 2019中文版》北京兆迪科技有限公司编著 2019