网络安全监控实战 深入理解事件检测与响应【2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载】

网络安全监控实战 深入理解事件检测与响应PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第一部分 准备开始2

第1章 网络安全监控基本原理2

1.1 NSM简介3

1.1.1 NSM阻止入侵吗3

1.1.2 NSM和持续监控的区别6

1.1.3 NSM与其他方法相比如何呢7

1.1.4 NSM为什么有效8

1.1.5 如何配置NSM8

1.1.6 NSM何时无效10

1.1.7 NSM合法吗10

1.1.8 在NSM作业期间如何保护用户隐私11

1.2 一个简单的NSM测试11

1.3 NSM数据的范围12

1.3.1 完整内容数据13

1.3.2 提取的内容数据15

1.3.3 会话数据17

1.3.4 事务数据18

1.3.5 统计数据19

1.3.6 元数据21

1.3.7 警报数据23

1.4 所有这些数据的关键是什么25

1.5 NSM的缺点26

1.6 在哪购买NSM26

1.7 到哪里寻求支持或更多信息27

1.8 结论27

第2章 收集网络流量：访问、存储和管理28

2.1 试验性NSM系统的网络示例28

2.1.1 简单网络中的网络流29

2.1.2 NSM的潜在位置32

2.2 IP地址与网络地址转换33

2.2.1 网络块33

2.2.2 IP地址分配34

2.2.3 地址转换34

2.3 选择实现网络可见性的最佳位置37

2.3.1 观察DMZ网络流量的位置37

2.3.2 观察无线网络和内网流量的位置37

2.4 对流量的物理访问39

2.4.1 用交换机实现流量监控39

2.4.2 使用网络窃听器40

2.4.3 直接在客户端或服务器上捕获流量40

2.5 选择NSM平台41

2.6 10条NSM平台管理建议42

2.7 结论43

第二部分 SO部署46

第3章 单机NSM部署与安装46

3.1 单机或服务器加传感器46

3.2 选择如何将SO代码安装到硬件上49

3.3 安装单机系统50

3.3.1 将SO安装到硬盘上50

3.3.2 配置SO软件53

3.3.3 选择管理接口55

3.3.4 安装NSM软件组件56

3.3.5 检查安装59

3.4 结论61

第4章 分布式部署62

4.1 使用SO的.iso映像安装SO服务器62

4.1.1 关于SO服务器的一些考虑63

4.1.2 创建SO服务器63

4.1.3 配置SO服务器64

4.2 使用SO的.iso映像安装SO传感器66

4.2.1 配置SO传感器66

4.2.2 完成配置68

4.2.3 验证传感器正在工作68

4.2.4 验证autossh隧道正在工作69

4.3 使用PPA创建SO服务器69

4.3.1 安装Ubuntu服务器作为SO服务器操作系统70

4.3.2 选择静态IP地址71

4.3.3 更新软件73

4.3.4 通过PPA配置SO服务器74

4.4 使用PPA创建SO传感器75

4.4.1 安装Ubuntu服务器作为SO传感器操作系统75

4.4.2 将系统配置为传感器77

4.4.3 运行设置向导78

4.5 结论81

第5章 SO平台的日常管理82

5.1 及时更新SO82

5.1.1 通过GUI更新82

5.1.2 通过命令行更新83

5.2 限制对SO的访问84

5.2.1 通过SOCKS代理连接85

5.2.2 改变防火墙策略86

5.3 管理SO数据存储87

5.3.1 管理传感器存储88

5.3.2 检查数据库驱动器的使用88

5.3.3 管理Sguil数据库89

5.3.4 跟踪磁盘使用89

5.4 结论90

第三部分 工具92

第6章 命令行下的数据包分析工具92

6.1 SO工具种类92

6.1.1 SO数据表示工具92

6.1.2 SO数据收集工具93

6.1.3 SO数据传送工具93

6.2 运行Tcpdump94

6.2.1 用Tcpdump显示、写入和读取流量95

6.2.2 使用Tcpdump过滤器97

6.2.3 从Tcpdump输出中提取细节99

6.2.4 用Tcpdump研究完整内容数据99

6.3 使用Dumpcap和Tshark100

6.3.1 运行Tshark101

6.3.2 运行Dumpcap101

6.3.3 使用Tshark分析Dumpcap捕获的流量102

6.3.4 对Tshark使用显示过滤器103

6.3.5 Tshark显示过滤器应用示例105

6.4 运行Argus和Ra客户端106

6.4.1 停止及启动Argus106

6.4.2 Argus文件格式107

6.4.3 研究Argus数据107

6.5 结论110

第7章 图形化数据包分析工具111

7.1 使用Wireshark111

7.1.1 运行Wireshark111

7.1.2 在Wireshark中查看数据包捕获112

7.1.3 修改默认的Wireshark布局112

7.1.4 Wireshark一些有益的特性115

7.2 使用Xplico121

7.2.1 运行Xplico122

7.2.2 创建Xplico实例和会话123

7.2.3 处理网络流量123

7.2.4 检查解码的流量124

7.2.5 获取元数据和汇总流量126

7.3 使用NetworkMiner检查内容127

7.3.1 运行NetworkMiner127

7.3.2 收集和组织流量细节128

7.3.3 描绘内容130

7.4 结论131

第8章 NSM控制台132

8.1 以NSM为中心查看网络流量132

8.2 使用Sguil133

8.2.1 运行Sguil134

8.2.2 Sguil的6个关键功能135

8.3 使用Squert144

8.4 使用Snorby145

8.5 使用ELSA148

8.6 结论151

第四部分 NSM实践154

第9章 NSM操作154

9.1 企业安全周期154

9.1.1 规划阶段155

9.1.2 抵抗阶段155

9.1.3 检测和响应阶段155

9.2 收集、分析、升级和解决156

9.2.1 收集156

9.2.2 分析159

9.2.3 升级162

9.2.4 解决164

9.3 补救167

9.3.1 使用NSM改进安全167

9.3.2 创建CIRT168

9.4 结论169

第10章 服务器端攻击170

10.1 服务器端攻击的定义170

10.2 服务器端攻击实战171

10.2.1 启动Sguil172

10.2.2 从Sguil查询会话数据173

10.2.3 再谈警报数据176

10.2.4 使用Tshark检查完整内容数据178

10.2.5 理解后门180

10.2.6 入侵者做了什么181

10.2.7 入侵者还做了什么184

10.3 浏览会话数据185

10.3.1 搜索Bro DNS日志186

10.3.2 搜索Bro SSH日志187

10.3.3 搜索BroFTP日志188

10.3.4 解码遭窃的敏感数据190

10.3.5 提取被盗的归档191

10.4 后退一步192

10.4.1 阶段1总结192

10.4.2 阶段2总结192

10.4.3 后续步骤193

10.5 结论193

第11章 客户端攻击194

11.1 客户端攻击的定义194

11.2 客户端攻击实战195

11.2.1 获取用户的事件报告196

11.2.2 使用ELSA开始分析197

11.2.3 查找丢失的流量201

11.3 分析Bro dns.log文件202

11.4 检查目的端口204

11.5 研究命令控制通道206

11.5.1 初始访问207

11.5.2 改善shell211

11.5.3 总结阶段1212

11.5.4 转向另一个受害者212

11.5.5 安装隐秘隧道213

11.5.6 枚举受害者214

11.5.7 总结阶段2215

11.6 结论215

第12章 扩展SO217

12.1 使用Bro跟踪可执行文件217

12.1.1 用Bro计算下载的可执行文件的散列217

12.1.2 向VirusTotal提交散列218

12.2 使用Bro从流量中提取二进制程序219

12.2.1 配置Bro从流量中提取二进制程序220

12.2.2 收集流量来测试Bro221

12.2.3 测试Bro：从HTTP流量中提取二进制程序222

12.2.4 研究从HTTP中提取的二进制程序224

12.2.5 测试Bro：从FTP流量中提取二进制程序224

12.2.6 研究从FTP中提取的二进制程序226

12.2.7 向VirusTotal提交散列和二进制程序226

12.2.8 重启Bro228

12.3 使用APT1情报230

12.3.1 使用APT1模块230

12.3.2 安装APT1模块232

12.3.3 生成流量来测试APT1模块232

12.3.4 测试APT1模块233

12.4 报告恶意二进制程序的下载235

12.4.1 使用Team Cymru的MalwareHash Registry235

12.4.2 MHR和SO：默认有效236

12.4.3 MHR和SO与恶意程序下载237

12.4.4 识别二进制程序238

12.5 结论240

第13章 代理与校验和241

13.1 代理241

13.1.1 代理与可见性242

13.1.2 处理生产网络中的代理245

13.2 校验和246

13.2.1 好的校验和246

13.2.2 坏的校验和246

13.2.3 使用Tshark识别好的和坏的校验和247

13.2.4 坏的校验和如何产生249

13.2.5 Bro与坏的校验和249

13.2.6 设置Bro忽略坏的校验和251

13.3 结论253

第14章 总论254

14.1 云计算254

14.1.1 云计算的挑战255

14.1.2 云计算的好处256

14.2 工作流、度量与协作257

14.2.1 工作流和度量257

14.2.2 协作258

14.3 结论259

附录 SO脚本与配置260