Cyber Shelf

// Comparaison

Network Security Through Data Analysis vs The Practice of Network Security Monitoring : lequel lire ?

Deux livres de cybersécurité sur Defensive, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
4/52017
Network Security Through Data Analysis

From Data to Action

Michael Collins

Michael Collins sur la construction d'une awareness situationnelle à partir de la télémétrie réseau : architecture de collecte, calibrage statistique, et patterns analytiques qui transforment les flows en détection.

Intermédiaire
5/52013
The Practice of Network Security Monitoring

Understanding Incident Detection and Response

Richard Bejtlich

Le playbook NSM de Richard Bejtlich : comment déployer les sensors de collecte, valider que vous voyez réellement ce que vous pensez voir, et construire des workflows de détection autour d'outils open-source.

À lire si

Détection engineers et analystes SOC qui ont gradué de 'quelle est cette alerte' à 'cette alerte vaut-elle le coup d'être triée du tout'. Collins est le texte de détection quantitative dont le champ avait besoin.
Tout analyste SOC et détection engineer. Le texte fondateur de Bejtlich sur le NSM : collect-everything, alert-on-narrow, investigate-broadly. Définit le vocabulaire que le champ détection moderne utilise encore.

À éviter si

Débutants sans bagage NSM, ou lecteurs qui ne font que de la détection log-based. Le livre s'appuie fortement sur les données flow et la pensée statistique ; à coupler d'abord avec The Practice of Network Security Monitoring (Bejtlich) si vous êtes nouveau dans la discipline.
Lecteurs voulant les spécificités de tooling SIEM actuel. Le livre précède l'EDR-par-défaut et la télémétrie cloud-native moderne ; les principes se transfèrent, les spécificités tooling non.

Points clés

  • L'ingénierie de détection à l'échelle est un problème statistique ; le livre enseigne le cadrage que tout SOC moderne finit par réinventer.
  • L'analytique des données flow (NetFlow / IPFIX / sFlow) attrape le mouvement latéral que la détection paquet manque ; le livre est le traitement le plus net en imprimé.
  • La détection d'anomalies en série temporelle peut être bien faite avec du tooling sur étagère et de la pensée claire ; les chapitres sur le calibrage de baseline sont le cœur pratique.
  • La détection sans prévention est un choix stratégique, pas un repli ; Bejtlich a été des années en avance pour défendre cela et le livre reste l'argumentation la plus claire.
  • Les quatre types de données (full content, session, transactional, statistical) sont encore le bon framework pour penser la couverture détection.
  • La plupart des échecs SOC sont organisationnels et procéduraux, pas tooling ; les chapitres du livre sur workflows, runbooks et croissance d'analyste sont encore les meilleurs en imprimé.

Comment ils se comparent

Nous notons The Practice of Network Security Monitoring plus haut (5/5 contre 4/5 pour Network Security Through Data Analysis). Pour la plupart des lecteurs, The Practice of Network Security Monitoring est le choix principal et Network Security Through Data Analysis un complément utile.

Les deux livres ciblent un public de niveau intermédiaire : le choix se fait sur la thématique, pas la difficulté.

Network Security Through Data Analysis et The Practice of Network Security Monitoring couvrent tous les deux Defensive, Networking, Detection : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Network Security Through Data Analysis

Alternatives à Network Security Through Data AnalysisQue lire après Network Security Through Data Analysis

The Practice of Network Security Monitoring

Alternatives à The Practice of Network Security MonitoringQue lire après The Practice of Network Security Monitoring

Thématiques liées

DefensiveNetworkingDetection