The Practice of Network Security Monitoring
Understanding Incident Detection and Response
Le playbook NSM de Richard Bejtlich : comment déployer les sensors de collecte, valider que vous voyez réellement ce que vous pensez voir, et construire des workflows de détection autour d'outils open-source.
En tant qu'Associé Amazon, nous percevons une commission sur les achats éligibles. Le lien ci-dessus est sponsorisé.
- Auteurs
- Richard Bejtlich
- Publié
- 2013
- Éditeur
- No Starch Press
- Pages
- 376
- Langue
- English
À lire si
Tout analyste SOC et détection engineer. Le texte fondateur de Bejtlich sur le NSM : collect-everything, alert-on-narrow, investigate-broadly. Définit le vocabulaire que le champ détection moderne utilise encore.
À éviter si
Lecteurs voulant les spécificités de tooling SIEM actuel. Le livre précède l'EDR-par-défaut et la télémétrie cloud-native moderne ; les principes se transfèrent, les spécificités tooling non.
Points clés
- La détection sans prévention est un choix stratégique, pas un repli ; Bejtlich a été des années en avance pour défendre cela et le livre reste l'argumentation la plus claire.
- Les quatre types de données (full content, session, transactional, statistical) sont encore le bon framework pour penser la couverture détection.
- La plupart des échecs SOC sont organisationnels et procéduraux, pas tooling ; les chapitres du livre sur workflows, runbooks et croissance d'analyste sont encore les meilleurs en imprimé.
Notes
À coupler avec Network Security Through Data Analysis (Collins) pour le côté quantitatif et avec Practical Packet Analysis (Sanders) pour la fluidité Wireshark. Le blog et le Twitter de Bejtlich restent une lecture obligatoire. Lecture obligatoire pour quiconque rejoint un SOC ou conçoit des programmes de détection ; les principes vieillissent lentement et sont fondamentaux à la discipline.
Intermédiaire · 2017
Network Security Through Data Analysis
Michael Collins sur la construction d'une awareness situationnelle à partir de la télémétrie réseau : architecture de collecte, calibrage statistique, et patterns analytiques qui transforment les flows en détection.
Débutant · 2017
Practical Packet Analysis
Le manuel de travail de Chris Sanders pour Wireshark, orienté troubleshooting et incident response plutôt que théorie de protocole abstraite. Mis à jour pour Wireshark 2.x.
Débutant · 2019
Foundations of Information Security
Le tour compact de Jason Andress du champ : confidentialité / intégrité / disponibilité, identification et authentification, contrôles réseau et OS, écrit pour nouveaux venus et disciplines adjacentes.
Que lire ensuite
Que lire après The Practice of Network Security Monitoring →Intermédiaire · 2017
Network Security Through Data Analysis
Michael Collins sur la construction d'une awareness situationnelle à partir de la télémétrie réseau : architecture de collecte, calibrage statistique, et patterns analytiques qui transforment les flows en détection.
Intermédiaire · 2007
Linux Firewalls
Michael Rash, auteur de psad et fwsnort, sur la construction et l'exploitation d'un filtrage de paquets Linux-natif et d'un tooling de réponse aux intrusions. Pré-nftables en détail mais conceptuellement durable.
Intermédiaire · 2017
Zero Trust Networks
Le traitement pré-bulle marketing par Evan Gilman et Doug Barth de l'architecture zero-trust — ce qu'elle est quand vous l'implémentez vraiment (évaluation de confiance, identité device, policy dynamique) versus ce que le pitch vendor en a fait.
Explorer des livres similaires
Alternatives à The Practice of Network Security Monitoring →Intermédiaire · 2017
Network Security Through Data Analysis
Michael Collins sur la construction d'une awareness situationnelle à partir de la télémétrie réseau : architecture de collecte, calibrage statistique, et patterns analytiques qui transforment les flows en détection.
Intermédiaire · 2017
Zero Trust Networks
Le traitement pré-bulle marketing par Evan Gilman et Doug Barth de l'architecture zero-trust — ce qu'elle est quand vous l'implémentez vraiment (évaluation de confiance, identité device, policy dynamique) versus ce que le pitch vendor en a fait.
Intermédiaire · 2007
Linux Firewalls
Michael Rash, auteur de psad et fwsnort, sur la construction et l'exploitation d'un filtrage de paquets Linux-natif et d'un tooling de réponse aux intrusions. Pré-nftables en détail mais conceptuellement durable.