Cyber Shelf

// Comparaison

Practical Packet Analysis vs The Practice of Network Security Monitoring : lequel lire ?

Deux livres de cybersécurité sur Networking, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Débutant
4/52017
Practical Packet Analysis

Using Wireshark to Solve Real-World Network Problems

Chris Sanders

Le manuel de travail de Chris Sanders pour Wireshark, orienté troubleshooting et incident response plutôt que théorie de protocole abstraite. Mis à jour pour Wireshark 2.x.

Intermédiaire
5/52013
The Practice of Network Security Monitoring

Understanding Incident Detection and Response

Richard Bejtlich

Le playbook NSM de Richard Bejtlich : comment déployer les sensors de collecte, valider que vous voyez réellement ce que vous pensez voir, et construire des workflows de détection autour d'outils open-source.

À lire si

Quiconque a besoin de lire les pcaps couramment : analystes SOC, incident responders, ingénieurs réseau, étudiants sécurité. Sanders enseigne Wireshark exactement au niveau qui transforme l'outil d'intimidant en extension pratique de vos mains.
Tout analyste SOC et détection engineer. Le texte fondateur de Bejtlich sur le NSM : collect-everything, alert-on-narrow, investigate-broadly. Définit le vocabulaire que le champ détection moderne utilise encore.

À éviter si

Lecteurs voulant de la théorie protocolaire profonde, de l'audit de protocoles custom, ou de la recherche réseau côté attaque. Pour la profondeur au-delà du troubleshooting et IR, enchaîner avec Attacking Network Protocols (Forshaw) et Silence on the Wire (Zalewski).
Lecteurs voulant les spécificités de tooling SIEM actuel. Le livre précède l'EDR-par-défaut et la télémétrie cloud-native moderne ; les principes se transfèrent, les spécificités tooling non.

Points clés

  • Les filtres de capture sont comment vous évitez de vous noyer dans le volume ; les filtres d'affichage sont comment vous trouvez l'aiguille. Le livre enseigne les deux couramment dans les cent premières pages.
  • Lire le comportement TCP au niveau paquet (handshakes, retransmissions, resets) est la compétence core qui rend toute question d'analyse ultérieure tractable.
  • Les features profile, coloring rule et decode-as de Wireshark le transforment d'outil en workflow ; le chapitre sur la customisation rembourse rapidement.
  • La détection sans prévention est un choix stratégique, pas un repli ; Bejtlich a été des années en avance pour défendre cela et le livre reste l'argumentation la plus claire.
  • Les quatre types de données (full content, session, transactional, statistical) sont encore le bon framework pour penser la couverture détection.
  • La plupart des échecs SOC sont organisationnels et procéduraux, pas tooling ; les chapitres du livre sur workflows, runbooks et croissance d'analyste sont encore les meilleurs en imprimé.

Comment ils se comparent

Nous notons The Practice of Network Security Monitoring plus haut (5/5 contre 4/5 pour Practical Packet Analysis). Pour la plupart des lecteurs, The Practice of Network Security Monitoring est le choix principal et Practical Packet Analysis un complément utile.

Practical Packet Analysis vise le niveau débutant. The Practice of Network Security Monitoring vise le niveau intermédiaire. Lisez le plus accessible d'abord si la thématique ne vous est pas familière.

Practical Packet Analysis et The Practice of Network Security Monitoring couvrent tous les deux Networking, Defensive : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Practical Packet Analysis

Alternatives à Practical Packet AnalysisQue lire après Practical Packet Analysis

The Practice of Network Security Monitoring

Alternatives à The Practice of Network Security MonitoringQue lire après The Practice of Network Security Monitoring

Thématiques liées

NetworkingDefensive