Informatyka - Helion
Tytuł oryginału: Digital Forensics and Incident Response: Incident response tools and techniques for effective cyber threat response, 3rd Edition
Tłumaczenie: Piotr Fabija
ISBN: 978-83-289-0433-0
stron: 496, Format: ebook
Data wydania: 2024-04-16
Księgarnia: Helion
Cena książki: 59,40 zł (poprzednio: 99,00 zł)
Oszczędzasz: 40% (-39,60 zł)
Osoby które kupowały "Informatyka ", wybierały także:
- OSINT w praktyce. Kurs video. Dark web, OPSEC i wycieki danych 96,25 zł, (34,65 zł -64%)
- Cybersecurity dla ka 144,86 zł, (52,15 zł -64%)
- Wireshark. Kurs video. Analiza ruchu sieciowego i wykrywanie w 198,98 zł, (79,59 zł -60%)
- Prometheus. Kurs video. Monitorowanie system 159,00 zł, (63,60 zł -60%)
- Python dla haker 89,00 zł, (40,05 zł -55%)
Spis treści
Informatyka śledcza. Narzędzia i techniki skutecznego reagowania na incydenty bezpieczeństwa. Wydanie III eBook -- spis treści
O autorze
O recenzencie
Przedmowa
Część 1. Podstawy reagowania na incydenty i kryminalistyki cyfrowej
Rozdział 1. Czym jest reagowanie na incydenty
- Proces reagowania na incydenty
- Rola kryminalistyki cyfrowej
- Ramy reagowania na incydenty
- Karta reagowania na incydenty
- Zespół CSIRT
- Plan reagowania na incydenty
- Klasyfikowanie incydentów
- Podręcznik reagowania na incydenty
- Proces eskalacji
- Testowanie ram reagowania na incydenty
- Podsumowanie
- Pytania
- Literatura uzupełniająca
Rozdział 2. Zarządzanie incydentami cyberbezpieczeństwa
- Angażowanie zespołu reagowania na incydenty
- Modele angażowania zespołów CSIRT
- Badanie incydentów
- Centrum operacyjne zespołu CSIRT
- Komunikacja
- Rotowanie personelu
- SOAR
- Uwzględnianie komunikacji kryzysowej
- Komunikacja wewnętrzna
- Komunikacja zewnętrzna
- Powiadomienie publiczne
- Uwzględnianie strategii powstrzymania
- Powrót do normalności - likwidacja, odtworzenie i działania po incydencie
- Podsumowanie
- Pytania
- Lektura uzupełniająca
Rozdział 3. Podstawy kryminalistyki cyfrowej
- Rozwój kryminalistyki
- Zasada wymiany Locarda
- Zagadnienia prawne w kryminalistyce cyfrowej
- Regulacje prawne
- Zasady postępowania z dowodami
- Procedury kryminalistyczne w reagowaniu na incydenty
- Krótka historia kryminalistyki cyfrowej
- Proces kryminalistyki cyfrowej
- Laboratorium kryminalistyki cyfrowej
- Podsumowanie
- Pytania
- Lektura uzupełniająca
Rozdział 4. Metoda dochodzeniowa
- Studium przypadku analizy włamań: kukułcze jajo
- Rodzaje dochodzeń cyfrowych
- Funkcjonalna metoda dochodzenia cyfrowego
- Identyfikacja i określanie zakresu
- Zbieranie dowodów
- Wstępna analiza incydentu
- Wstępna korelacja
- Normalizacja incydentu
- Dekonfliktowanie zdarzenia
- Druga korelacja
- Oś czasu
- Analiza kill chain
- Raportowanie
- Łańcuch kill chain
- Model diamentowy analizy włamań
- Aksjomaty modelu diamentowego
- Kombinacja modelu diamentowego i analizy włamań łańcucha kill chain
- Atrybucja
- Podsumowanie
- Pytania
Część 2. Pozyskiwanie dowodów
Rozdział 5. Zbieranie dowodów sieciowych
- Przegląd dowodów sieciowych
- Przygotowanie
- Schemat sieci
- Konfiguracja
- Zapory ogniowe i dzienniki proxy
- Zapory sieciowe
- Zapory aplikacji internetowych
- Internetowe serwery proxy
- NetFlow
- Przechwytywanie pakietów
- tcpdump
- WinPcap i RawCap
- Wireshark
- Zbieranie dowodów
- Podsumowanie
- Pytania
- Lektura uzupełniająca
Rozdział 6. Pozyskiwanie dowodów opartych na hoście
- Przygotowania
- Hierarchia ulotności
- Pozyskiwanie dowodów
- Procedury zbierania dowodów
- Pozyskiwanie z pamięci ulotnej
- FTK Imager
- WinPmem
- RAM Capturer
- Systemy wirtualne
- Pozyskiwanie dowodów nieulotnych
- Pozyskiwanie plików chronionych za pomocą programu FTK
- Narzędzie CyLR
- Kroll Artifact Parser and Extractor
- Podsumowanie
- Pytania
- Lektura uzupełniająca
Rozdział 7. Zdalne gromadzenie dowodów
- Wyzwania związane z reagowaniem na incydenty w organizacji
- Wykrywanie w punktach końcowych i reagowanie
- Omówienie i implementacja narzędzia Velociraptor
- Serwer narzędzia Velociraptor
- Moduł zbierający narzędzia Velociraptor dla systemu Windows
- Velociraptor a scenariusze
- Zbieranie dowodów z użyciem narzędzia Velociraptor
- CyLR
- WinPmem
- Podsumowanie
- Pytania
Rozdział 8. Obrazowanie kryminalistyczne
- Czym jest obrazowanie kryminalistyczne
- Obraz kontra kopia
- Woluminy logiczne i fizyczne
- Rodzaje plików obrazów
- SSD kontra HDD
- Narzędzia do obrazowania
- Przygotowanie dysku do przechowywania obrazów
- Korzystanie z blokad zapisu
- Techniki obrazowania
- Obrazowanie przy wyłączonym systemie
- Obrazowanie na żywo
- Systemy wirtualne
- Obrazowanie w systemie Linux
- Podsumowanie
- Pytania
- Lektura uzupełniająca
Część 3. Badanie dowodów
Rozdział 9. Badanie dowodów sieciowych
- Przegląd dowodów sieciowych
- Analiza dzienników zapory sieciowej i proxy
- Narzędzia SIEM
- Elastic Stack
- NetFlow
- Analizowanie przechwyconych pakietów
- Narzędzia wiersza poleceń
- Real Intelligence Threat Analytics
- NetworkMiner
- Arkime
- Wireshark
- Podsumowanie
- Pytania
- Lektura uzupełniająca
Rozdział 10. Badanie pamięci systemowej
- Omówienie analizy pamięci
- Metodyka analizy pamięci
- Sześcioetapowa metodyka SANS
- Metodyka połączeń sieciowych
- Narzędzia do badania pamięci
- Analiza pamięci z wykorzystaniem Volatility
- Volatility Workbench
- Badanie pamięci z wykorzystaniem Strings
- Instalowanie Strings
- Typowe wyszukiwania w Strings
- Podsumowanie
- Pytania
- Lektura uzupełniająca
Rozdział 11. Analiza systemowej pamięci masowej
- Platformy kryminalistyczne
- Autopsy
- Instalowanie Autopsy
- Zakładanie nowego dochodzenia
- Dodawanie dowodów
- Poruszanie się w Autopsy
- Badanie dochodzenia
- Analiza głównej tablicy plików
- Analiza prefetch
- Analiza rejestru
- Podsumowanie
- Pytania
- Lektura uzupełniająca
Rozdział 12. Analizowanie plików dziennika
- Dzienniki i zarządzanie nimi
- Korzystanie z systemów SIEM
- Splunk
- Elastic Stack
- Security Onion
- Dzienniki systemu Windows
- Dzienniki zdarzeń systemu Windows
- Analiza dzienników zdarzeń systemu Windows
- Pozyskiwanie dzienników
- Triaż
- Szczegółowa analiza dziennika zdarzeń
- Podsumowanie
- Pytania
- Lektura uzupełniająca
Rozdział 13. Tworzenie raportu o incydencie
- Przegląd dokumentacji
- Co należy dokumentować
- Rodzaje dokumentacji
- Źródła danych
- Odbiorcy
- Raport wykonawczy
- Raport z dochodzenia w sprawie incydentu
- Raport kryminalistyczny
- Przygotowanie raportu kryminalistycznego z incydentu
- Sporządzanie notatek
- Język raportu
- Podsumowanie
- Pytania
- Lektura uzupełniająca
Część 4. Reagowanie na incydenty związane z oprogramowaniem ransomware
Rozdział 14. Przygotowanie i reagowanie na oprogramowanie ransomware
- Historia oprogramowania ransomware
- CryptoLocker
- CryptoWall
- CTB-Locker
- TeslaCrypt
- SamSam
- Locky
- WannaCry
- Ryuk
- Analiza przypadku oprogramowania ransomware Conti
- Kontekst
- Ujawnienie operacyjne
- Taktyki i techniki
- Eksfiltracja
- Wpływ
- Właściwe przygotowanie na ransomware
- Odporność na oprogramowanie ransomware
- Przygotowanie zespołu CSIRT
- Likwidacja i odzyskiwanie
- Powstrzymywanie
- Likwidacja
- Odzyskiwanie
- Podsumowanie
- Pytania
- Informacje uzupełniające
Rozdział 15. Dochodzenie w sprawie ransomware
- Początkowy dostęp i wykonanie oprogramowania ransomware
- Uzyskanie początkowego dostępu
- Wykonanie
- Uzyskiwanie dostępu do danych uwierzytelniających i ich kradzież
- ProcDump
- Mimikatz
- Badanie działań poeksploatacyjnych
- Dowodzenie i kontrola
- Security Onion
- RITA
- Arkime
- Badanie technik ruchu bocznego
- Podsumowanie
- Pytania
- Lektura uzupełniająca
Część 5. Analiza i polowanie na zagrożenia
Rozdział 16. Analiza złośliwego oprogramowania w reagowaniu na incydenty
- Przegląd analizy złośliwego oprogramowania
- Klasyfikacja złośliwego oprogramowania
- Konfigurowanie piaskownicy na potrzeby złośliwego oprogramowania
- Piaskownica lokalna
- Piaskownica w chmurze
- Analiza statyczna
- Analiza właściwości statycznych
- Analiza dynamiczna
- Eksplorator procesów
- Process Spawn Control
- Zautomatyzowana analiza
- ClamAV
- YARA
- yarGen
- Podsumowanie
- Pytania
- Lektura uzupełniająca
Rozdział 17. Korzystanie z analizy cyberzagrożeń
- Czym jest analiza cyberzagrożeń
- Rodzaje analiz cyberzagrożeń
- Piramida bólu
- Metodyka analizy cyberzagrożeń
- Pozyskiwanie informacji o cyberzagrożeniach
- Źródła opracowywane wewnętrznie
- Źródła komercyjne
- Źródła open source
- Baza MITRE ATT&CK
- Korzystanie z IOC i IOA
- Analiza cyberzagrożeń w reagowaniu na incydenty
- Autopsy
- Maltego
- YARA i Loki
- Podsumowanie
- Pytania
- Lektura uzupełniająca
Rozdział 18. Polowanie na cyberzagrożenia
- Czym jest polowanie na zagrożenia
- Cykl wykrywania zagrożeń
- Raportowanie działań związanych z polowaniem na zagrożenia
- Model dojrzałości polowania na zagrożenia
- Stawianie hipotezy
- MITRE ATT&CK
- Planowanie polowania na zagrożenia
- Cyfrowe techniki kryminalistyczne w polowaniu na zagrożenia
- EDR w polowaniu na zagrożenia
- Podsumowanie
- Pytania
- Lektura uzupełniająca
Dodatek
Odpowiedzi
Skorowidz