CZĘŚĆ 1. Wprowadzenie do inżynierii detekcji Rozdział 1. Podstawy inżynierii detekcji Podstawowe pojęcia Unified Kill Chain Framework MITRE ATT&CK Piramida bólu Rodzaje cyberataków Motywacja dla inżynierii detekcji Definicja inżynierii detekcji Ważne cechy wyróżniające Wartość programu inżynierii detekcji Potrzeba zapewnienia lepszej wykrywalności Cechy dobrego wykrywania zagrożeń Korzyści z programu inżynierii detekcji Przewodnik korzystania z tej książki Rozdział 2. Cykl życia inżynierii detekcji Faza 1. Odkrywanie wymagań Charakterystyka kompletnego wymagania mechanizmu detekcji Źródła wymagań dla mechanizmów detekcji Ćwiczenie. Źródła wymagań dotyczących mechanizmów detekcji w Twojej organizacji Faza 2. Selekcja Dotkliwość zagrożenia Dopasowanie mechanizmu detekcji zagrożenia do organizacji Pokrycie zagrożeń mechanizmami detekcji Aktywne eksploity Faza 3. Analiza Określenie źródła danych Ustalenie typów wskaźników wykrycia Kontekst badawczy Ustalenie kryteriów walidacji Faza 4. Programowanie Faza 5. Testowanie Rodzaje danych testowych Faza 6. Wdrażanie Rozdział 3. Budowa laboratorium testowego inżynierii detekcji Wymagania techniczne Elastic Stack Wdrażanie systemu Elastic Stack za pomocą Dockera Konfiguracja Elastic Stack Konfiguracja narzędzia Fleet Server Instalacja i konfiguracja systemu Fleet Server Dodatkowe konfiguracje dla komponentu Fleet Server Dodawanie hosta do laboratorium Zasady komponentu Elastic Agent Tworzenie pierwszego mechanizmu detekcji Dodatkowe zasoby CZĘŚĆ 2. Tworzenie mechanizmów detekcji Rozdział 4. Źródła danych inżynierii detekcji Wymagania techniczne Źródła danych i telemetrii Nieprzetworzona telemetria Narzędzia zabezpieczeń Źródła danych MITRE ATT&CK Identyfikacja źródeł danych Analiza problemów i wyzwań związanych ze źródłami danych Kompletność Jakość Terminowość Pokrycie Ćwiczenie. Więcej informacji o źródłach danych Dodawanie źródeł danych Ćwiczenie. Dodawanie źródła danych serwera WWW Rozdział 5. Analiza wymagań dla mechanizmów detekcji Przegląd faz wymagań dla mechanizmów detekcji Odkrywanie wymagań dla mechanizmów detekcji Narzędzia i procesy Ćwiczenie. Odkrywanie wymagań w organizacji Selekcja wymagań dla mechanizmów detekcji Dotkliwość zagrożenia Dopasowanie zagrożenia do organizacji Pokrycie wymagań dla mechanizmów detekcji Aktywne eksploity Obliczanie priorytetu Analiza wymagań dla mechanizmów detekcji Rozdział 6. Tworzenie mechanizmów detekcji przy użyciu wskaźników naruszeń zabezpieczeń Wymagania techniczne Wykorzystanie wskaźników naruszenia zabezpieczeń Przykładowy scenariusz. Identyfikacja kampanii IcedID przy użyciu wskaźników Ćwiczenie Instalacja i konfigurowanie systemu Sysmon jako źródła danych Wykrywanie skrótów Mechanizmy detekcji wskaźników sieciowych Podsumowanie ćwiczenia Rozdział 7. Opracowywanie mechanizmów detekcji opartych na wskaźnikach behawioralnych Wymagania techniczne Wykrywanie narzędzi przeciwnika Przykładowy scenariusz. Użycie narzędzia PsExec Wykrywanie taktyk, technik i procedur (TTP) Przykładowy scenariusz. Technika omijania kontroli znacznika sieci Rozdział 8. Tworzenie dokumentacji i potoki mechanizmów detekcji Dokumentowanie mechanizmu detekcji Ćwiczenie. Dokumentowanie mechanizmu detekcji Analiza repozytorium mechanizmów detekcji Mechanizm detekcji jako kod Wyzwania związane z tworzeniem potoku mechanizmu detekcji Ćwiczenie. Publikowanie reguły przy użyciu projektu mechanizmów detekcji Elastic CZĘŚĆ 3. Walidacja mechanizmów detekcji Rozdział 9. Walidacja mechanizmów detekcji Wymagania techniczne Czym jest proces walidacji? Na czym polegają ćwiczenia zespołu purple team? Symulowanie aktywności przeciwnika Atomic Red Team CALDERA Ćwiczenie. Walidacja mechanizmów detekcji dla pojedynczej techniki z wykorzystaniem Atomic Red Team Ćwiczenie. Walidacja mechanizmów detekcji dla wielu technik z wykorzystaniem systemu CALDERA Korzystanie z wyników walidacji Pomiar pokrycia zagrożeń mechanizmami detekcji Rozdział 10. Wykorzystanie wiedzy o zagrożeniach Wymagania techniczne Przegląd zagadnień związanych z wiedzą o zagrożeniach Wiedza o zagrożeniach typu open source Wewnętrzne źródła wiedzy o zagrożeniach Zbieranie wiedzy o zagrożeniach Wiedza o zagrożeniach w cyklu życia inżynierii detekcji Odkrywanie wymagań Selekcja Analiza Wiedza o zagrożeniach na potrzeby inżynierii detekcji w praktyce Przykład. Wykorzystywanie na potrzeby inżynierii detekcji wpisów na blogach z informacjami o zagrożeniach Przykład. Wykorzystanie systemu VirusTotal na potrzeby inżynierii detekcji Ocena zagrożeń Przykład. Wykorzystanie oceny zagrożeń na potrzeby inżynierii detekcji Zasoby i dalsza lektura Źródła i pojęcia związane z wiedzą o zagrożeniach Skanery online i piaskownice MITRE ATT&CK CZĘŚĆ 4. Metryki i zarządzanie Rozdział 11. Zarządzanie wydajnością Wprowadzenie do zarządzania wydajnością Ocena dojrzałości mechanizmu detekcji Pomiar wydajności programu inżynierii detekcji Pomiar skuteczności programu inżynierii detekcji Priorytetyzacja prac związanych z detekcją Trafność, hałaśliwość i czułość Obliczanie skuteczności mechanizmu detekcji Metryki pokrycia o niskiej wierności Automatyczna walidacja Metryki pokrycia o wysokiej wierności CZĘŚĆ 5. Kariera w inżynierii detekcji Rozdział 12. Wskazówki dotyczące kariery w inżynierii detekcji Zdobycie pracy w branży inżynierii detekcji Oferty pracy Rozwijanie umiejętności Inżynier detekcji jako zawód Role i obowiązki inżyniera detekcji Przyszłość inżynierii detekcji Powierzchnie ataku Widoczność Możliwości urządzeń zabezpieczeń Uczenie maszynowe Współdzielenie metodologii ataków Przeciwnik Człowiek