Cyber Shelf

// Comparaison

Practical Linux Forensics vs The Practice of Network Security Monitoring : lequel lire ?

Deux livres de cybersécurité sur Defensive, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
4/52021
Practical Linux Forensics

A Guide for Digital Investigators

Bruce Nikkel

La référence de Bruce Nikkel pour les analystes forensiques travaillant en post-mortem sur des images Linux : systèmes de fichiers, journalisation, logs, emplacements de persistance et la discipline chain of custody autour.

Intermédiaire
5/52013
The Practice of Network Security Monitoring

Understanding Incident Detection and Response

Richard Bejtlich

Le playbook NSM de Richard Bejtlich : comment déployer les sensors de collecte, valider que vous voyez réellement ce que vous pensez voir, et construire des workflows de détection autour d'outils open-source.

À lire si

Incident responders et analystes forensiques travaillant sur des systèmes Linux modernes. Nikkel couvre les internals ext4 / XFS / Btrfs, la journalisation systemd, les emplacements de persistance et la discipline chain-of-custody qui distingue la preuve des notes. La référence post-systemd dont le champ avait besoin.
Tout analyste SOC et détection engineer. Le texte fondateur de Bejtlich sur le NSM : collect-everything, alert-on-narrow, investigate-broadly. Définit le vocabulaire que le champ détection moderne utilise encore.

À éviter si

Analystes forensiques Windows-only, ou débutants sans expérience IR. Le livre suppose la fluidité système de fichiers et le confort en ligne de commande forensique.
Lecteurs voulant les spécificités de tooling SIEM actuel. Le livre précède l'EDR-par-défaut et la télémétrie cloud-native moderne ; les principes se transfèrent, les spécificités tooling non.

Points clés

  • La forensique Linux moderne n'est pas juste « parser syslog » ; systemd, journald et le passage aux conteneurs basés overlay ont chacun créé de nouvelles classes d'artefacts.
  • Le chapitre sur l'énumération de persistance est le plus net en imprimé ; cron, timers systemd, init.d, profile files, tous nommés.
  • La plupart des charges cloud sont Linux, ce qui signifie que la majeure partie de la forensique d'incident cloud est de la forensique Linux ; le livre est la bonne référence de départ.
  • La détection sans prévention est un choix stratégique, pas un repli ; Bejtlich a été des années en avance pour défendre cela et le livre reste l'argumentation la plus claire.
  • Les quatre types de données (full content, session, transactional, statistical) sont encore le bon framework pour penser la couverture détection.
  • La plupart des échecs SOC sont organisationnels et procéduraux, pas tooling ; les chapitres du livre sur workflows, runbooks et croissance d'analyste sont encore les meilleurs en imprimé.

Comment ils se comparent

Nous notons The Practice of Network Security Monitoring plus haut (5/5 contre 4/5 pour Practical Linux Forensics). Pour la plupart des lecteurs, The Practice of Network Security Monitoring est le choix principal et Practical Linux Forensics un complément utile.

Les deux livres ciblent un public de niveau intermédiaire : le choix se fait sur la thématique, pas la difficulté.

Practical Linux Forensics et The Practice of Network Security Monitoring couvrent tous les deux Defensive : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Practical Linux Forensics

Alternatives à Practical Linux ForensicsQue lire après Practical Linux Forensics

The Practice of Network Security Monitoring

Alternatives à The Practice of Network Security MonitoringQue lire après The Practice of Network Security Monitoring

Thématiques liées

Defensive