Cyber Shelf

// Comparaison

Applied Network Security Monitoring vs Network Security Through Data Analysis : lequel lire ?

Deux livres de cybersécurité sur Detection, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
4/52013
Applied Network Security Monitoring

Collecte, détection et analyse

Chris Sanders, Jason Smith

Un parcours de praticien pour bâtir une capacité de NSM de bout en bout, du choix de ce qu'il faut collecter jusqu'à la détection et au flux d'analyse qui relie le tout. L'outillage est daté, mais la façon dont le livre apprend à penser la surveillance ne l'est pas.

Intermédiaire
4/52017
Network Security Through Data Analysis

From Data to Action

Michael Collins

Michael Collins sur la construction d'une awareness situationnelle à partir de la télémétrie réseau : architecture de collecte, calibrage statistique, et patterns analytiques qui transforment les flows en détection.

À lire si

Analystes SOC et futurs ingénieurs détection qui veulent un modèle mental structuré de la collecte, de la détection et de l'analyse, plutôt qu'un tas de tutoriels d'outils décousus.
Détection engineers et analystes SOC qui ont gradué de 'quelle est cette alerte' à 'cette alerte vaut-elle le coup d'être triée du tout'. Collins est le texte de détection quantitative dont le champ avait besoin.

À éviter si

Quiconque espère une boîte à outils à jour. Passez votre chemin si vous voulez des configs Zeek/Suricata/Elastic prêtes à coller aujourd'hui, les commandes ici ont vieilli.
Débutants sans bagage NSM, ou lecteurs qui ne font que de la détection log-based. Le livre s'appuie fortement sur les données flow et la pensée statistique ; à coupler d'abord avec The Practice of Network Security Monitoring (Bejtlich) si vous êtes nouveau dans la discipline.

Points clés

  • La collecte est une décision délibérée, pas un réglage par défaut. Décidez quelles données comptent avant de vous noyer sous tout le reste.
  • Le découpage de la détection en approches par signature, par anomalie et statistique correspond toujours proprement au fonctionnement des stacks modernes.
  • L'analyse est une discipline avec un flux de travail, pas du décorticage de paquets improvisé, et ce cadrage est ce qu'il y a de plus durable ici.
  • L'ingénierie de détection à l'échelle est un problème statistique ; le livre enseigne le cadrage que tout SOC moderne finit par réinventer.
  • L'analytique des données flow (NetFlow / IPFIX / sFlow) attrape le mouvement latéral que la détection paquet manque ; le livre est le traitement le plus net en imprimé.
  • La détection d'anomalies en série temporelle peut être bien faite avec du tooling sur étagère et de la pensée claire ; les chapitres sur le calibrage de baseline sont le cœur pratique.

Comment ils se comparent

Applied Network Security Monitoring et Network Security Through Data Analysis sont tous deux notés 4/5 dans notre catalogue. Choisissez selon vos préférences thématiques et de style, plutôt que sur la note.

Les deux livres ciblent un public de niveau intermédiaire : le choix se fait sur la thématique, pas la difficulté.

Applied Network Security Monitoring et Network Security Through Data Analysis couvrent tous les deux Detection, Networking, Defensive : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Applied Network Security Monitoring

Alternatives à Applied Network Security MonitoringQue lire après Applied Network Security Monitoring

Network Security Through Data Analysis

Alternatives à Network Security Through Data AnalysisQue lire après Network Security Through Data Analysis

Thématiques liées

DetectionNetworkingDefensive