Osoby które kupowały "Informatyka ", wybierały także:

• Certified Information Security Manager Exam Prep Guide 230,00 zł, (29,90 zł -87%)
• Nmap Network Exploration and Security Auditing Cookbook 157,37 zł, (29,90 zł -81%)
• Malware Analysis Techniques 157,37 zł, (29,90 zł -81%)
• Cybersecurity Career Master Plan 142,38 zł, (29,90 zł -79%)
• API Testing and Development with Postman 142,38 zł, (29,90 zł -79%)

Spis treści

Informatyka śledcza. Narzędzia i techniki skutecznego reagowania na incydenty bezpieczeństwa. Wydanie III eBook -- spis treści

O autorze

O recenzencie

Przedmowa

Część 1. Podstawy reagowania na incydenty i kryminalistyki cyfrowej

Rozdział 1. Czym jest reagowanie na incydenty

• Proces reagowania na incydenty
  • Rola kryminalistyki cyfrowej
• Ramy reagowania na incydenty
  • Karta reagowania na incydenty
  • Zespół CSIRT
• Plan reagowania na incydenty
  • Klasyfikowanie incydentów
• Podręcznik reagowania na incydenty
  • Proces eskalacji
• Testowanie ram reagowania na incydenty
• Podsumowanie
• Pytania
• Literatura uzupełniająca

Rozdział 2. Zarządzanie incydentami cyberbezpieczeństwa

• Angażowanie zespołu reagowania na incydenty
  • Modele angażowania zespołów CSIRT
  • Badanie incydentów
  • Centrum operacyjne zespołu CSIRT
  • Komunikacja
  • Rotowanie personelu
• SOAR
• Uwzględnianie komunikacji kryzysowej
  • Komunikacja wewnętrzna
  • Komunikacja zewnętrzna
  • Powiadomienie publiczne
• Uwzględnianie strategii powstrzymania
• Powrót do normalności - likwidacja, odtworzenie i działania po incydencie
• Podsumowanie
• Pytania
• Lektura uzupełniająca

Rozdział 3. Podstawy kryminalistyki cyfrowej

• Rozwój kryminalistyki
• Zasada wymiany Locarda
• Zagadnienia prawne w kryminalistyce cyfrowej
  • Regulacje prawne
  • Zasady postępowania z dowodami
• Procedury kryminalistyczne w reagowaniu na incydenty
  • Krótka historia kryminalistyki cyfrowej
  • Proces kryminalistyki cyfrowej
  • Laboratorium kryminalistyki cyfrowej
• Podsumowanie
• Pytania
• Lektura uzupełniająca

Rozdział 4. Metoda dochodzeniowa

• Studium przypadku analizy włamań: kukułcze jajo
• Rodzaje dochodzeń cyfrowych
• Funkcjonalna metoda dochodzenia cyfrowego
  • Identyfikacja i określanie zakresu
  • Zbieranie dowodów
  • Wstępna analiza incydentu
  • Wstępna korelacja
  • Normalizacja incydentu
  • Dekonfliktowanie zdarzenia
  • Druga korelacja
  • Oś czasu
  • Analiza kill chain
  • Raportowanie
• Łańcuch kill chain
• Model diamentowy analizy włamań
  • Aksjomaty modelu diamentowego
  • Kombinacja modelu diamentowego i analizy włamań łańcucha kill chain
  • Atrybucja
• Podsumowanie
• Pytania

Część 2. Pozyskiwanie dowodów

Rozdział 5. Zbieranie dowodów sieciowych

• Przegląd dowodów sieciowych
  • Przygotowanie
  • Schemat sieci
  • Konfiguracja
• Zapory ogniowe i dzienniki proxy
  • Zapory sieciowe
  • Zapory aplikacji internetowych
  • Internetowe serwery proxy
• NetFlow
• Przechwytywanie pakietów
  • tcpdump
  • WinPcap i RawCap
• Wireshark
• Zbieranie dowodów
• Podsumowanie
• Pytania
• Lektura uzupełniająca

Rozdział 6. Pozyskiwanie dowodów opartych na hoście

• Przygotowania
• Hierarchia ulotności
• Pozyskiwanie dowodów
  • Procedury zbierania dowodów
• Pozyskiwanie z pamięci ulotnej
  • FTK Imager
  • WinPmem
  • RAM Capturer
  • Systemy wirtualne
• Pozyskiwanie dowodów nieulotnych
  • Pozyskiwanie plików chronionych za pomocą programu FTK
  • Narzędzie CyLR
  • Kroll Artifact Parser and Extractor
• Podsumowanie
• Pytania
• Lektura uzupełniająca

Rozdział 7. Zdalne gromadzenie dowodów

• Wyzwania związane z reagowaniem na incydenty w organizacji
• Wykrywanie w punktach końcowych i reagowanie
• Omówienie i implementacja narzędzia Velociraptor
  • Serwer narzędzia Velociraptor
  • Moduł zbierający narzędzia Velociraptor dla systemu Windows
• Velociraptor a scenariusze
  • Zbieranie dowodów z użyciem narzędzia Velociraptor
  • CyLR
  • WinPmem
• Podsumowanie
• Pytania

Rozdział 8. Obrazowanie kryminalistyczne

• Czym jest obrazowanie kryminalistyczne
  • Obraz kontra kopia
  • Woluminy logiczne i fizyczne
  • Rodzaje plików obrazów
  • SSD kontra HDD
• Narzędzia do obrazowania
• Przygotowanie dysku do przechowywania obrazów
• Korzystanie z blokad zapisu
• Techniki obrazowania
  • Obrazowanie przy wyłączonym systemie
  • Obrazowanie na żywo
  • Systemy wirtualne
  • Obrazowanie w systemie Linux
• Podsumowanie
• Pytania
• Lektura uzupełniająca

Część 3. Badanie dowodów

Rozdział 9. Badanie dowodów sieciowych

• Przegląd dowodów sieciowych
• Analiza dzienników zapory sieciowej i proxy
  • Narzędzia SIEM
  • Elastic Stack
• NetFlow
• Analizowanie przechwyconych pakietów
  • Narzędzia wiersza poleceń
  • Real Intelligence Threat Analytics
  • NetworkMiner
  • Arkime
  • Wireshark
• Podsumowanie
• Pytania
• Lektura uzupełniająca

Rozdział 10. Badanie pamięci systemowej

• Omówienie analizy pamięci
• Metodyka analizy pamięci
  • Sześcioetapowa metodyka SANS
  • Metodyka połączeń sieciowych
• Narzędzia do badania pamięci
  • Analiza pamięci z wykorzystaniem Volatility
  • Volatility Workbench
• Badanie pamięci z wykorzystaniem Strings
  • Instalowanie Strings
  • Typowe wyszukiwania w Strings
• Podsumowanie
• Pytania
• Lektura uzupełniająca

Rozdział 11. Analiza systemowej pamięci masowej

• Platformy kryminalistyczne
• Autopsy
  • Instalowanie Autopsy
  • Zakładanie nowego dochodzenia
  • Dodawanie dowodów
  • Poruszanie się w Autopsy
  • Badanie dochodzenia
• Analiza głównej tablicy plików
• Analiza prefetch
• Analiza rejestru
• Podsumowanie
• Pytania
• Lektura uzupełniająca

Rozdział 12. Analizowanie plików dziennika

• Dzienniki i zarządzanie nimi
• Korzystanie z systemów SIEM
  • Splunk
  • Elastic Stack
  • Security Onion
• Dzienniki systemu Windows
  • Dzienniki zdarzeń systemu Windows
• Analiza dzienników zdarzeń systemu Windows
  • Pozyskiwanie dzienników
  • Triaż
  • Szczegółowa analiza dziennika zdarzeń
• Podsumowanie
• Pytania
• Lektura uzupełniająca

Rozdział 13. Tworzenie raportu o incydencie

• Przegląd dokumentacji
  • Co należy dokumentować
  • Rodzaje dokumentacji
  • Źródła danych
  • Odbiorcy
• Raport wykonawczy
• Raport z dochodzenia w sprawie incydentu
• Raport kryminalistyczny
• Przygotowanie raportu kryminalistycznego z incydentu
  • Sporządzanie notatek
  • Język raportu
• Podsumowanie
• Pytania
• Lektura uzupełniająca

Część 4. Reagowanie na incydenty związane z oprogramowaniem ransomware

Rozdział 14. Przygotowanie i reagowanie na oprogramowanie ransomware

• Historia oprogramowania ransomware
  • CryptoLocker
  • CryptoWall
  • CTB-Locker
  • TeslaCrypt
  • SamSam
  • Locky
  • WannaCry
  • Ryuk
• Analiza przypadku oprogramowania ransomware Conti
  • Kontekst
  • Ujawnienie operacyjne
  • Taktyki i techniki
  • Eksfiltracja
  • Wpływ
• Właściwe przygotowanie na ransomware
  • Odporność na oprogramowanie ransomware
  • Przygotowanie zespołu CSIRT
• Likwidacja i odzyskiwanie
  • Powstrzymywanie
  • Likwidacja
  • Odzyskiwanie
• Podsumowanie
• Pytania
• Informacje uzupełniające

Rozdział 15. Dochodzenie w sprawie ransomware

• Początkowy dostęp i wykonanie oprogramowania ransomware
  • Uzyskanie początkowego dostępu
  • Wykonanie
• Uzyskiwanie dostępu do danych uwierzytelniających i ich kradzież
  • ProcDump
  • Mimikatz
• Badanie działań poeksploatacyjnych
• Dowodzenie i kontrola
  • Security Onion
  • RITA
  • Arkime
• Badanie technik ruchu bocznego
• Podsumowanie
• Pytania
• Lektura uzupełniająca

Część 5. Analiza i polowanie na zagrożenia

Rozdział 16. Analiza złośliwego oprogramowania w reagowaniu na incydenty

• Przegląd analizy złośliwego oprogramowania
  • Klasyfikacja złośliwego oprogramowania
• Konfigurowanie piaskownicy na potrzeby złośliwego oprogramowania
  • Piaskownica lokalna
  • Piaskownica w chmurze
• Analiza statyczna
  • Analiza właściwości statycznych
• Analiza dynamiczna
  • Eksplorator procesów
  • Process Spawn Control
  • Zautomatyzowana analiza
• ClamAV
• YARA
  • yarGen
• Podsumowanie
• Pytania
• Lektura uzupełniająca

Rozdział 17. Korzystanie z analizy cyberzagrożeń

• Czym jest analiza cyberzagrożeń
  • Rodzaje analiz cyberzagrożeń
  • Piramida bólu
  • Metodyka analizy cyberzagrożeń
• Pozyskiwanie informacji o cyberzagrożeniach
  • Źródła opracowywane wewnętrznie
  • Źródła komercyjne
  • Źródła open source
• Baza MITRE ATT&CK
• Korzystanie z IOC i IOA
• Analiza cyberzagrożeń w reagowaniu na incydenty
  • Autopsy
  • Maltego
  • YARA i Loki
• Podsumowanie
• Pytania
• Lektura uzupełniająca

Rozdział 18. Polowanie na cyberzagrożenia

• Czym jest polowanie na zagrożenia
  • Cykl wykrywania zagrożeń
  • Raportowanie działań związanych z polowaniem na zagrożenia
  • Model dojrzałości polowania na zagrożenia
• Stawianie hipotezy
  • MITRE ATT&CK
• Planowanie polowania na zagrożenia
• Cyfrowe techniki kryminalistyczne w polowaniu na zagrożenia
• EDR w polowaniu na zagrożenia
• Podsumowanie
• Pytania
• Lektura uzupełniająca

Dodatek

Odpowiedzi

Skorowidz