Network Security Through Data Analysis
From Data to Action
Michael Collins sur la construction d'une awareness situationnelle à partir de la télémétrie réseau : architecture de collecte, calibrage statistique, et patterns analytiques qui transforment les flows en détection.
En tant qu'Associé Amazon, nous percevons une commission sur les achats éligibles. Le lien ci-dessus est sponsorisé.
- Auteurs
- Michael Collins
- Publié
- 2017
- Éditeur
- O'Reilly Media
- Pages
- 428
- Langue
- English
À lire si
Détection engineers et analystes SOC qui ont gradué de 'quelle est cette alerte' à 'cette alerte vaut-elle le coup d'être triée du tout'. Collins est le texte de détection quantitative dont le champ avait besoin.
À éviter si
Débutants sans bagage NSM, ou lecteurs qui ne font que de la détection log-based. Le livre s'appuie fortement sur les données flow et la pensée statistique ; à coupler d'abord avec The Practice of Network Security Monitoring (Bejtlich) si vous êtes nouveau dans la discipline.
Points clés
- L'ingénierie de détection à l'échelle est un problème statistique ; le livre enseigne le cadrage que tout SOC moderne finit par réinventer.
- L'analytique des données flow (NetFlow / IPFIX / sFlow) attrape le mouvement latéral que la détection paquet manque ; le livre est le traitement le plus net en imprimé.
- La détection d'anomalies en série temporelle peut être bien faite avec du tooling sur étagère et de la pensée claire ; les chapitres sur le calibrage de baseline sont le cœur pratique.
Notes
À coupler avec Practice of Network Security Monitoring (Bejtlich) pour le cadre opérationnel et Practical Packet Analysis (Sanders) pour la fluidité Wireshark. La recherche de Collins au CERT/CC de Carnegie Mellon sous-tend une grande partie du livre ; son travail ultérieur sur l'analytique de données sécurité est la lecture suite naturelle.
Que lire avant
Que lire avant Network Security Through Data Analysis →Intermédiaire · 2013
The Practice of Network Security Monitoring
Le playbook NSM de Richard Bejtlich : comment déployer les sensors de collecte, valider que vous voyez réellement ce que vous pensez voir, et construire des workflows de détection autour d'outils open-source.
Débutant · 2017
Practical Packet Analysis
Le manuel de travail de Chris Sanders pour Wireshark, orienté troubleshooting et incident response plutôt que théorie de protocole abstraite. Mis à jour pour Wireshark 2.x.
Débutant · 2019
Foundations of Information Security
Le tour compact de Jason Andress du champ : confidentialité / intégrité / disponibilité, identification et authentification, contrôles réseau et OS, écrit pour nouveaux venus et disciplines adjacentes.
Que lire ensuite
Que lire après Network Security Through Data Analysis →Intermédiaire · 2013
The Practice of Network Security Monitoring
Le playbook NSM de Richard Bejtlich : comment déployer les sensors de collecte, valider que vous voyez réellement ce que vous pensez voir, et construire des workflows de détection autour d'outils open-source.
Intermédiaire · 2007
Linux Firewalls
Michael Rash, auteur de psad et fwsnort, sur la construction et l'exploitation d'un filtrage de paquets Linux-natif et d'un tooling de réponse aux intrusions. Pré-nftables en détail mais conceptuellement durable.
Intermédiaire · 2017
Zero Trust Networks
Le traitement pré-bulle marketing par Evan Gilman et Doug Barth de l'architecture zero-trust — ce qu'elle est quand vous l'implémentez vraiment (évaluation de confiance, identité device, policy dynamique) versus ce que le pitch vendor en a fait.
Explorer des livres similaires
Alternatives à Network Security Through Data Analysis →Intermédiaire · 2013
The Practice of Network Security Monitoring
Le playbook NSM de Richard Bejtlich : comment déployer les sensors de collecte, valider que vous voyez réellement ce que vous pensez voir, et construire des workflows de détection autour d'outils open-source.
Intermédiaire · 2017
Zero Trust Networks
Le traitement pré-bulle marketing par Evan Gilman et Doug Barth de l'architecture zero-trust — ce qu'elle est quand vous l'implémentez vraiment (évaluation de confiance, identité device, policy dynamique) versus ce que le pitch vendor en a fait.
Intermédiaire · 2007
Linux Firewalls
Michael Rash, auteur de psad et fwsnort, sur la construction et l'exploitation d'un filtrage de paquets Linux-natif et d'un tooling de réponse aux intrusions. Pré-nftables en détail mais conceptuellement durable.