The Practice of Network Security Monitoring
Understanding Incident Detection and Response
Le playbook NSM de Richard Bejtlich : comment déployer les sensors de collecte, valider que vous voyez réellement ce que vous pensez voir, et construire des workflows de détection autour d'outils open-source.
En tant qu'Associé Amazon, nous percevons une commission sur les achats éligibles. Le lien ci-dessus est sponsorisé.
- Auteurs
- Richard Bejtlich
- Publié
- 2013
- Éditeur
- No Starch Press
- Pages
- 376
- Langue
- English
À lire si
Tout analyste SOC et détection engineer. Le texte fondateur de Bejtlich sur le NSM : collect-everything, alert-on-narrow, investigate-broadly. Définit le vocabulaire que le champ détection moderne utilise encore.
À éviter si
Lecteurs voulant les spécificités de tooling SIEM actuel. Le livre précède l'EDR-par-défaut et la télémétrie cloud-native moderne ; les principes se transfèrent, les spécificités tooling non.
Points clés
- La détection sans prévention est un choix stratégique, pas un repli ; Bejtlich a été des années en avance pour défendre cela et le livre reste l'argumentation la plus claire.
- Les quatre types de données (full content, session, transactional, statistical) sont encore le bon framework pour penser la couverture détection.
- La plupart des échecs SOC sont organisationnels et procéduraux, pas tooling ; les chapitres du livre sur workflows, runbooks et croissance d'analyste sont encore les meilleurs en imprimé.
Notes
À coupler avec Network Security Through Data Analysis (Collins) pour le côté quantitatif et avec Practical Packet Analysis (Sanders) pour la fluidité Wireshark. Le blog et le Twitter de Bejtlich restent une lecture obligatoire. Lecture obligatoire pour quiconque rejoint un SOC ou conçoit des programmes de détection ; les principes vieillissent lentement et sont fondamentaux à la discipline.
Intermédiaire · 2013
Applied Network Security Monitoring
Un parcours de praticien pour bâtir une capacité de NSM de bout en bout, du choix de ce qu'il faut collecter jusqu'à la détection et au flux d'analyse qui relie le tout. L'outillage est daté, mais la façon dont le livre apprend à penser la surveillance ne l'est pas.
Intermédiaire · 2017
Network Security Through Data Analysis
Michael Collins sur la construction d'une awareness situationnelle à partir de la télémétrie réseau : architecture de collecte, calibrage statistique, et patterns analytiques qui transforment les flows en détection.
Débutant · 2017
Practical Packet Analysis
Le manuel de travail de Chris Sanders pour Wireshark, orienté troubleshooting et incident response plutôt que théorie de protocole abstraite. Mis à jour pour Wireshark 2.x.
Que lire ensuite
Que lire après The Practice of Network Security Monitoring →Avancé · 2010
Tableaux de bord de la sécurité réseau
Un manuel de praticien pour mesurer et piloter la sécurité réseau — métriques, tableaux de bord, supervision et indicateurs de risque — pour ceux qui exploitent la sécurité au quotidien.
Intermédiaire · 2013
Applied Network Security Monitoring
Un parcours de praticien pour bâtir une capacité de NSM de bout en bout, du choix de ce qu'il faut collecter jusqu'à la détection et au flux d'analyse qui relie le tout. L'outillage est daté, mais la façon dont le livre apprend à penser la surveillance ne l'est pas.
Intermédiaire · 2017
Network Security Through Data Analysis
Michael Collins sur la construction d'une awareness situationnelle à partir de la télémétrie réseau : architecture de collecte, calibrage statistique, et patterns analytiques qui transforment les flows en détection.
Explorer des livres similaires
Alternatives à The Practice of Network Security Monitoring →Intermédiaire · 2017
Network Security Through Data Analysis
Michael Collins sur la construction d'une awareness situationnelle à partir de la télémétrie réseau : architecture de collecte, calibrage statistique, et patterns analytiques qui transforment les flows en détection.
Intermédiaire · 2013
Applied Network Security Monitoring
Un parcours de praticien pour bâtir une capacité de NSM de bout en bout, du choix de ce qu'il faut collecter jusqu'à la détection et au flux d'analyse qui relie le tout. L'outillage est daté, mais la façon dont le livre apprend à penser la surveillance ne l'est pas.
Avancé · 2010
Tableaux de bord de la sécurité réseau
Un manuel de praticien pour mesurer et piloter la sécurité réseau — métriques, tableaux de bord, supervision et indicateurs de risque — pour ceux qui exploitent la sécurité au quotidien.