Applied Network Security Monitoring
Collecte, détection et analyse
Un parcours de praticien pour bâtir une capacité de NSM de bout en bout, du choix de ce qu'il faut collecter jusqu'à la détection et au flux d'analyse qui relie le tout. L'outillage est daté, mais la façon dont le livre apprend à penser la surveillance ne l'est pas.
En tant qu'Associé Amazon, nous percevons une commission sur les achats éligibles. Le lien ci-dessus est sponsorisé.
- Auteurs
- Chris Sanders,Jason Smith
- Publié
- 2013
- Éditeur
- Syngress
- Pages
- 496
- Langue
- English
Prérequis
De l'aisance avec TCP/IP, les captures de paquets et les bases de Linux. Vous devez déjà savoir ce qu'est un flag SYN avant de l'ouvrir.
À lire si
Analystes SOC et futurs ingénieurs détection qui veulent un modèle mental structuré de la collecte, de la détection et de l'analyse, plutôt qu'un tas de tutoriels d'outils décousus.
À éviter si
Quiconque espère une boîte à outils à jour. Passez votre chemin si vous voulez des configs Zeek/Suricata/Elastic prêtes à coller aujourd'hui, les commandes ici ont vieilli.
Points clés
- La collecte est une décision délibérée, pas un réglage par défaut. Décidez quelles données comptent avant de vous noyer sous tout le reste.
- Le découpage de la détection en approches par signature, par anomalie et statistique correspond toujours proprement au fonctionnement des stacks modernes.
- L'analyse est une discipline avec un flux de travail, pas du décorticage de paquets improvisé, et ce cadrage est ce qu'il y a de plus durable ici.
Notes
La méthodologie a mieux tenu que presque tout le reste de 2013 : la colonne vertébrale collecte-détection-analyse reste exactement la bonne manière de raisonner la NSM. Ce qui n'a pas tenu, c'est la chaîne d'outils, Security Onion, Snort et les commandes précises ont une génération de retard, alors lisez-le pour la réflexion et trouvez vos configs ailleurs. Cela en vaut la peine ne serait-ce que pour le modèle mental.
Que lire avant
Que lire avant Applied Network Security Monitoring →Intermédiaire · 2013
The Practice of Network Security Monitoring
Le playbook NSM de Richard Bejtlich : comment déployer les sensors de collecte, valider que vous voyez réellement ce que vous pensez voir, et construire des workflows de détection autour d'outils open-source.
Intermédiaire · 2017
Network Security Through Data Analysis
Michael Collins sur la construction d'une awareness situationnelle à partir de la télémétrie réseau : architecture de collecte, calibrage statistique, et patterns analytiques qui transforment les flows en détection.
Débutant · 2017
Practical Packet Analysis
Le manuel de travail de Chris Sanders pour Wireshark, orienté troubleshooting et incident response plutôt que théorie de protocole abstraite. Mis à jour pour Wireshark 2.x.
Que lire ensuite
Que lire après Applied Network Security Monitoring →Intermédiaire · 2013
The Practice of Network Security Monitoring
Le playbook NSM de Richard Bejtlich : comment déployer les sensors de collecte, valider que vous voyez réellement ce que vous pensez voir, et construire des workflows de détection autour d'outils open-source.
Intermédiaire · 2017
Network Security Through Data Analysis
Michael Collins sur la construction d'une awareness situationnelle à partir de la télémétrie réseau : architecture de collecte, calibrage statistique, et patterns analytiques qui transforment les flows en détection.
Intermédiaire · 2007
Linux Firewalls
Michael Rash, auteur de psad et fwsnort, sur la construction et l'exploitation d'un filtrage de paquets Linux-natif et d'un tooling de réponse aux intrusions. Pré-nftables en détail mais conceptuellement durable.
Explorer des livres similaires
Alternatives à Applied Network Security Monitoring →Intermédiaire · 2013
The Practice of Network Security Monitoring
Le playbook NSM de Richard Bejtlich : comment déployer les sensors de collecte, valider que vous voyez réellement ce que vous pensez voir, et construire des workflows de détection autour d'outils open-source.
Intermédiaire · 2017
Network Security Through Data Analysis
Michael Collins sur la construction d'une awareness situationnelle à partir de la télémétrie réseau : architecture de collecte, calibrage statistique, et patterns analytiques qui transforment les flows en détection.
Intermédiaire · 2017
Zero Trust Networks
Le traitement pré-bulle marketing par Evan Gilman et Doug Barth de l'architecture zero-trust — ce qu'elle est quand vous l'implémentez vraiment (évaluation de confiance, identité device, policy dynamique) versus ce que le pitch vendor en a fait.