Cyber Shelf

// Comparaison

Applied Network Security Monitoring vs The Practice of Network Security Monitoring : lequel lire ?

Deux livres de cybersécurité sur Detection, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
4/52013
Applied Network Security Monitoring

Collecte, détection et analyse

Chris Sanders, Jason Smith

Un parcours de praticien pour bâtir une capacité de NSM de bout en bout, du choix de ce qu'il faut collecter jusqu'à la détection et au flux d'analyse qui relie le tout. L'outillage est daté, mais la façon dont le livre apprend à penser la surveillance ne l'est pas.

Intermédiaire
5/52013
The Practice of Network Security Monitoring

Understanding Incident Detection and Response

Richard Bejtlich

Le playbook NSM de Richard Bejtlich : comment déployer les sensors de collecte, valider que vous voyez réellement ce que vous pensez voir, et construire des workflows de détection autour d'outils open-source.

À lire si

Analystes SOC et futurs ingénieurs détection qui veulent un modèle mental structuré de la collecte, de la détection et de l'analyse, plutôt qu'un tas de tutoriels d'outils décousus.
Tout analyste SOC et détection engineer. Le texte fondateur de Bejtlich sur le NSM : collect-everything, alert-on-narrow, investigate-broadly. Définit le vocabulaire que le champ détection moderne utilise encore.

À éviter si

Quiconque espère une boîte à outils à jour. Passez votre chemin si vous voulez des configs Zeek/Suricata/Elastic prêtes à coller aujourd'hui, les commandes ici ont vieilli.
Lecteurs voulant les spécificités de tooling SIEM actuel. Le livre précède l'EDR-par-défaut et la télémétrie cloud-native moderne ; les principes se transfèrent, les spécificités tooling non.

Points clés

  • La collecte est une décision délibérée, pas un réglage par défaut. Décidez quelles données comptent avant de vous noyer sous tout le reste.
  • Le découpage de la détection en approches par signature, par anomalie et statistique correspond toujours proprement au fonctionnement des stacks modernes.
  • L'analyse est une discipline avec un flux de travail, pas du décorticage de paquets improvisé, et ce cadrage est ce qu'il y a de plus durable ici.
  • La détection sans prévention est un choix stratégique, pas un repli ; Bejtlich a été des années en avance pour défendre cela et le livre reste l'argumentation la plus claire.
  • Les quatre types de données (full content, session, transactional, statistical) sont encore le bon framework pour penser la couverture détection.
  • La plupart des échecs SOC sont organisationnels et procéduraux, pas tooling ; les chapitres du livre sur workflows, runbooks et croissance d'analyste sont encore les meilleurs en imprimé.

Comment ils se comparent

Nous notons The Practice of Network Security Monitoring plus haut (5/5 contre 4/5 pour Applied Network Security Monitoring). Pour la plupart des lecteurs, The Practice of Network Security Monitoring est le choix principal et Applied Network Security Monitoring un complément utile.

Les deux livres ciblent un public de niveau intermédiaire : le choix se fait sur la thématique, pas la difficulté.

Applied Network Security Monitoring et The Practice of Network Security Monitoring couvrent tous les deux Detection, Networking, Defensive : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Applied Network Security Monitoring

Alternatives à Applied Network Security MonitoringQue lire après Applied Network Security Monitoring

The Practice of Network Security Monitoring

Alternatives à The Practice of Network Security MonitoringQue lire après The Practice of Network Security Monitoring

Thématiques liées

DetectionNetworkingDefensive