Zapewnienie bezpieczeństwa IT jest wyjątkowo ważne. Organizacja musi pozostawać w ciągłej gotowości do wykrywania zagrożeń i reagowania na incydenty bezpieczeństwa. Przeciwnicy nieustannie się doskonalą i standardowy zestaw zabezpieczeń jakiś czas temu przestał wystarczać. Konieczne jest zbudowanie i wdrożenie kompleksowego systemu zapobiegania zagrożeniom, ich wykrywania i reagowania na nie. Podobnie jak na polu bitwy, tak i w planowaniu bezpieczeństwa IT zyskuje się przewagę dzięki znajomości własnego terenu i działaniom ofensywnym.

Oto wszechstronny i praktyczny przewodnik dla inżynierów i kierowników do spraw bezpieczeństwa. Opisano w nim, jak zbudować program pracy zespołu czerwonego, który będzie się zajmować ofensywnymi testami bezpieczeństwa, zarządzać nim i monitorować ich  efektywność. Omówiono też skuteczne sposoby podnoszenia świadomości bezpieczeństwa w organizacji. Dokładnie wyjaśniono zasady wykonywania operacji progresywnych, takich jak ukierunkowane testy naruszenia prywatności czy manipulowanie danymi telemetrycznymi. Zaprezentowano grafy wiedzy i sposoby ich budowania, a następnie techniki polowania na poświadczenia. Nie zabrakło ważnych uwag o ochronie zasobów, przeprowadzaniu audytów oraz korzystaniu z alertów.

W książce:

• czym grożą naruszenia bezpieczeństwa
• jak budować skuteczne zespoły testów penetracyjnych
• mapowanie własnego terenu za pomocą grafów wiedzy
• czym jest polowanie na poświadczenia
• czym się różni praca zespołów niebieskiego i czerwonego
• skuteczne informowanie kierownictwa firmy o problemach z bezpieczeństwem

Wróg nie śpi. Przejdź do ofensywy i testuj swój system!

Osoby które kupowały "Strategie ofensywnego testowania zabezpieczeń. Praktyczny podręcznik dla czerwonych zespołów", wybierały także:

• Securing Network Infrastructure 199,33 zł, (29,90 zł -85%)
• Implementing Azure: Putting Modern DevOps to Use 175,88 zł, (29,90 zł -83%)
• Industrial Internet Application Development 157,37 zł, (29,90 zł -81%)
• Web Penetration Testing with Kali Linux - Third Edition 157,37 zł, (29,90 zł -81%)
• Nmap: Network Exploration and Security Auditing Cookbook - Second Edition 157,37 zł, (29,90 zł -81%)

Spis treści

Strategie Red Team. Ofensywne testowanie zabezpieczeń w praktyce -- spis treści

O autorze 15

O recenzentach 17

Przedmowa 19

CZĘŚĆ I. ZAAKCEPTOWANIE CZERWONEGO ZESPOŁU 27

Rozdział 1. Uruchamianie programu bezpieczeństwa ofensywnego 29

• Definiowanie misji - adwokat diabła 30
• Uzyskanie poparcia kadry kierowniczej 31
  
  • Przekonywanie kierownictwa za pomocą danych 31
  • Przekonywanie kierownictwa za pomocą działań i wyników 32
• Miejsce czerwonego zespołu w schemacie organizacyjnym 32
• Droga ku przyszłości bezpieczeństwa ofensywnego 33
  
  • Tworzenie nowego programu od podstaw 33
  • Dziedziczenie istniejącego programu 33
  • Ludzie - spotkanie z członkami czerwonego zespołu 34
  • Dlaczego pentesterzy są tacy niesamowici? 35
  • Inżynieria bezpieczeństwa ofensywnego jako dyscyplina zawodowa 35
  • Strategiczne podejście członków czerwonych zespołów 36
  • Zarządzanie programami 36
  • Przyciąganie i zatrzymywanie talentów 36
  • Różnorodność i otwartość 38
  • Morale i tożsamość zespołu 39
  • Reputacja zespołu 40
• Świadczenie różnych usług na rzecz organizacji 40
  
  • Wsparcie dla przeglądu zabezpieczeń i modelowania zagrożeń 41
  • Ocena bezpieczeństwa 41
  • Działania zespołu czerwonego 42
  • Działania zespołu fioletowego 42
  • Ćwiczenia symulacyjne 43
  • Badania i rozwój 43
  • Predykcyjna analiza ataków i wsparcie dla reagowania na incydenty 43
• Dodatkowe obowiązki programu ofensywnego 44
  
  • Edukacja i szkolenie w zakresie bezpieczeństwa 44
  • Zwiększenie IQ bezpieczeństwa organizacji 44
  • Gromadzenie informacji o zagrożeniach 44
  • Informowanie grup zarządzania ryzykiem i kierownictwa 44
  • Integracja z procesami inżynieryjnymi 45
  • Mam wrażenie, jakbym Cię znał - zrozumienie etycznych aspektów działań czerwonego zespołu 45
• Szkolenie i edukacja zespołów bezpieczeństwa ofensywnego 46
• Zasady, reguły i standardy 47
  
  • Zasady, którymi należy się kierować, i reguły, których należy przestrzegać 47
  • Działanie z określonym celem i zachowanie pokory 47
  • Testy penetracyjne są reprezentatywne, ale nie wyczerpujące 48
  • Pentesting nie zastępuje funkcjonalnego testowania bezpieczeństwa 48
  • Umożliwienie pentesterom eksploracji 48
  • Informowanie grup zarządzających ryzykiem 49
• Zasady przeprowadzania testów penetracyjnych 49
  
  • Dostosowywanie zasad przeprowadzania testów penetracyjnych do operacji 50
  • Geograficzne i jurysdykcyjne obszary działania 50
  • Dystrybucja materiałów informacyjnych 51
  • Prawdziwe, symulowane i emulowane ataki 51
  • Porównanie systemów produkcyjnych i nieprodukcyjnych 52
  • Unikaj zostania pionkiem w politycznej rozgrywce 52
• Standardowa procedura operacyjna 52
  
  • Wykorzystywanie planów ataków do śledzenia operacji 53
  • Cel misji - co zamierzamy osiągnąć lub zademonstrować? 53
  • Zainteresowane strony i ich obowiązki 54
  • Kryptonimy 55
  • Harmonogram i czas trwania 55
  • Ryzyko związane z testami penetracyjnymi i autoryzacja 56
  • Spotkanie wdrożeniowe 56
  • Rezultaty 56
  • Powiadamianie zainteresowanych stron 57
  • Wykonywanie planu ataku - śledzenie postępów w trakcie operacji 57
  • Dokumentowanie działań 59
  • Podsumowywanie operacji 61
  • Udostępnianie nadrzędnych informacji za pośrednictwem dashboardów 64
  • Kontaktowanie się z zespołem pentesterów i zamawianie usług 64
• Modelowanie przeciwnika 65
  
  • Zrozumienie przeciwników zewnętrznych 65
  • Uwzględnianie zagrożeń wewnętrznych 65
  • Czynniki motywujące 66
• Anatomia włamania 66
  
  • Ustanowienie przyczółka 66
  • Osiąganie celu misji 67
  • Włamywanie się do aplikacji internetowych 68
  • Słabe poświadczenia 68
  • Brak integralności i poufności 68
  • Łańcuch niszczenia intruzów Lockheeda Martina 68
  • Anatomia katastrofy usługi w chmurze 69
• Tryby działania - operacja chirurgiczna lub nalot dywanowy 70
  
  • Działanie chirurgiczne 70
  • Naloty dywanowe 70
• Środowisko i przestrzeń biurowa 71
  
  • Porównanie otwartej i zamkniętej przestrzeni biurowej 71
  • Zabezpieczenie środowiska fizycznego 71
  • Jeśli trzeba, zbieraj najlepsze zespoły 72
  • Skoncentrowanie się na aktualnym zadaniu 72
• Podsumowanie 72
• Pytania 73

Rozdział 2. Zarządzanie zespołem bezpieczeństwa ofensywnego 75

• Zrozumienie rytmu biznesowego i planowanie operacji zespołu czerwonego 76
  
  • Planowanie cykli 76
  • Spotkania pozazakładowe 76
  • Zachęcanie do różnorodnych pomysłów i unikanie myślenia grupowego 78
  • Planowanie operacji - skupianie się na celach 78
  • Planowanie operacji - skupianie się na zasobach 80
  • Planowanie operacji - skupianie się na lukach w zabezpieczeniach 80
  • Planowanie operacji - skupianie się na taktykach ataków, technikach i procedurach 81
  • Planowanie operacji - skupienie się na frameworku STRIDE 81
• Zarządzanie zespołem i ocena jego wydajności 83
  
  • Regularne spotkania indywidualne 83
  • Przekazywanie złych wiadomości 83
  • Świętowanie sukcesu i dobra zabawa 84
• Zarządzanie przez przechadzanie się 84
• Zarządzanie kadrą kierowniczą 85
• Zarządzanie samym sobą 85
• Obsługa logistyki, spotkań i pozostawanie na obranym kursie 85
  
  • Spotkania zespołu 86
  • Praca zdalna 86
  • Ciągłe testy penetracyjne 87
  • Ciągłe dostosowywanie zasobów 87
  • Mądrze wybieraj swoje bitwy 87
  • Korzystanie ze wsparcia zewnętrznych firm 88
• Rozwój zespołu 89
  
  • Możliwość szybkiego zatrudniania nowych pracowników 89
  • Doskonałość we wszystkim 90
  • Gotowość do przeprowadzania testów bezpieczeństwa ofensywnego 91
  • Budowanie laboratorium do przeprowadzania ataków 91
• Kieruj zespołem i inspiruj go 92
• Aby uzyskać najlepsze wyniki, pozwól na swobodę działania 92
• Wykorzystanie przewagi własnego terytorium 93
  
  • Znalezienie wspólnego celu przez zespoły czerwony, niebieski i inżynierski 93
  • Zostałem przyłapany! Jak zbudować pomost 95
  • Uczenie się od siebie nawzajem, aby się doskonalić 96
  • Polowanie na zagrożenia 96
  • Rozwijanie zespołu fioletowego, aby był bardziej efektywny 96
  • Techniki ofensywne i defensywne środki obrony 97
  • Udostępnianie maszyn atakujących! 97
  • Aktywna obrona, honeypoty i wabiki 98
  • Ochrona pentestera 99
  • Wykonywanie ciągłej, kompleksowej walidacji testowej potoku reagowania na incydenty 99
  • Zwalczanie normalizacji dewiacji 100
  • Zachowanie zdrowego zróżnicowania poglądów między zespołami czerwonym i niebieskim 100
• Przerywanie passy zespołu fioletowego 101
• Podsumowanie 101
• Pytania 102

Rozdział 3. Mierzenie efektywności programu bezpieczeństwa ofensywnego 103

• Iluzja kontroli 104
• Droga do dojrzałości 105
  
  • Strategiczne działania zespołu czerwonego w całej organizacji 106
  • Ryzyko związane z działaniem w trybie skrytym 106
  • Śledzenie ustaleń i incydentów 107
  • Powtarzalność 112
  • Automatyzacja działań zespołu czerwonego, aby pomóc obrońcom 112
  • Ochrona informacji - zabezpieczanie ustaleń czerwonego zespołu 113
  • Pomiar trwałości obecności zespołu czerwonego w środowisku 113
  • Zmaganie się z mgłą wojny 114
• Zagrożenia - drzewa i grafy 115
  
  • Ręczne tworzenie grafów koncepcyjnych 115
  • Automatyzowanie wykrywania i umożliwienie eksploracji 118
• Definiowanie wskaźników oraz kluczowych wskaźników efektywności 120
  
  • Śledzenie podstawowych zobowiązań wewnętrznych zespołu 120
  • Dashboardy ze statystykami ataków - badanie wskaźników bojowych 121
  • Punktacja zespołu czerwonego 123
  • Śledzenie dotkliwości ustaleń i pomiar ryzyka 128
  • Wyjście poza skale porządkowe 128
  • Korzystanie ze wskaźników średniego czasu 129
  • Eksperymentowanie z symulacjami metodą Monte Carlo 130
  • Macierz reagowania na zagrożenia 134
• Framework Test Maturity Model integration i działania czerwonego zespołu 135
  
  • Poziom 1. - wstępny 135
  • Poziom 2. - zarządzany 135
  • Poziom 3. - zdefiniowany 136
  • Poziom 4. - mierzony 136
  • Poziom 5. - optymalizacja 137
  • Poziom 6. - iluzja kontroli, czyli zespół czerwony kontratakuje 137
• Macierz ATT&CK firmy MITRE 137
  
  • ATT&CK Navigator 138
• Pamiętaj, na czym polega działanie zespołu czerwonego 141
• Podsumowanie 141
• Pytania 142

Rozdział 4. Progresywne operacje zespołu czerwonego 143

• Badanie różnych rodzajów działań operacyjnych w cyberprzestrzeni 144
• Wydobywanie kryptowalut 145
  
  • Wydobywanie kryptowalut, aby zademonstrować wpływ finansowy, czyli kiedy lecimy na Księżyc? 146
• Działania zespołu czerwonego w celu ochrony danych osobowych 149
  
  • Pierwsze kroki w testowaniu skoncentrowanym na naruszeniach poufności danych osobowych 150
  • Wysyłanie symulowanego rachunku do wewnętrznych zespołów 152
• Przeprowadzanie testów penetracyjnych zespołu czerwonego 153
• Obranie za cel niebieskiego zespołu 154
• Wykorzystanie systemów ochrony punktów końcowych zespołu niebieskiego jako C2 154
• Media społecznościowe i reklama ukierunkowana 155
• Fałszowanie danych telemetrycznych w celu zmanipulowania rozwoju nowych funkcjonalności oprogramowania 156
• Atakowanie sztucznej inteligencji i systemów uczenia maszynowego 156
• Operacja "Straż obywatelska" - wykorzystanie zespołu czerwonego do wdrażania poprawek 157
• Emulowanie rzeczywistych ATP 158
• Przeprowadzanie ćwiczeń symulowanych 158
  
  • Angażowanie w ćwiczenia zespołu kierowniczego 160
• Podsumowanie 160
• Pytania 161

CZĘŚĆ II. TAKTYKI I TECHNIKI 163

Rozdział 5. Świadomość sytuacyjna - mapowanie własnego terytorium za pomocą grafowych baz danych 165

• Grafy ataków i wiedzy 166
• Podstawy grafowej bazy danych 167
  
  • Węzły lub wierzchołki 168
  • Relacje lub krawędzie 168
  • Właściwości lub wartości 169
  • Etykiety 169
• Budowanie grafu gospodarzy za pomocą Neo4j 169
• Eksploracja przeglądarki Neo4j 175
• Tworzenie i kwerendowanie informacji 176
  
  • Tworzenie węzła 177
  • Pobieranie węzła 178
  • Tworzenie relacji między węzłami 181
  • Indeksowanie w celu zwiększenia wydajności 182
  • Usuwanie obiektu 184
  • Alternatywne sposoby kwerendowania grafowych baz danych 184
• Podsumowanie 185
• Pytania 185

Rozdział 6. Budowanie kompleksowego grafu wiedzy 187

• Wymagania techniczne 188
• Studium przypadku - fikcyjna korporacja Shadow Bunny 188
  
  • Pracownicy i zasoby 189
  • Budowanie grafu 190
  • Tworzenie węzłów komputerów 193
  • Dodawanie relacji, aby wskazać administratorów maszyn 194
  • Konfigurowanie edytora zapytań, aby umożliwiał wykonywanie zapytań składających się z wielu instrukcji 196
• Mapowanie chmury! 201
• Importowanie zasobów chmurowych 204
  
  • Tworzenie użytkownika IAM usługi AWS 204
  • Wykorzystanie narzędzi klienckich AWS do eksportowania danych 209
• Ładowanie danych CSV do grafowej bazy danych 215
  
  • Ładowanie danych CSV oraz tworzenie węzłów i relacji 216
  • Grupowanie danych 219
• Dodawanie większej ilości danych do grafu wiedzy 220
  
  • Active Directory 221
  • Zespół niebieski i źródła danych IT 221
  • Zasoby w chmurze 222
  • OSINT, dane wywiadowcze o zagrożeniach i informacje o lukach w zabezpieczeniach 222
  • Książki adresowe i wewnętrzne systemy katalogowe 223
  • Odkrywanie nieznanego i skanowanie portów 223
• Rozszerzać istniejący graf czy budować go od podstaw? 223
• Podsumowanie 224
• Pytania 224

Rozdział 7. Polowanie na poświadczenia 225

• Wymagania techniczne 226
• Sposoby szukania poświadczeń w postaci zwykłego tekstu 226
  
  • Poszukiwanie typowych wzorców w celu identyfikacji poświadczeń 227
  • Przeszukiwanie dokumentów pakietu Microsoft Office 233
  • Wydobywanie zapisanych haseł sieci Wi-Fi w systemach Windows 235
  • Narzędzia do zautomatyzowanego wykrywania poświadczeń 238
• Wykorzystanie technik indeksowania do wyszukiwania poświadczeń 239
  
  • Używanie narzędzia Sourcegraph do efektywniejszego znajdowania sekretów 239
  • Wyszukiwanie poświadczeń przy użyciu indeksowania plików wbudowanego w system operacyjny 246
  • Indeksowanie kodu i dokumentów przy użyciu frameworku Apache Lucene i modułu Scour 252
• Polowanie na teksty zaszyfrowane i skróty 254
  
  • Polowanie na teksty zaszyfrowane 254
  • Polowanie na skróty 254
• Podsumowanie 262
• Pytania 262

Rozdział 8. Zaawansowane polowanie na poświadczenia 263

• Wymagania techniczne 264
• Metoda pass-the-cookie 264
• Poświadczenia w pamięci procesów 266
  
  • Korzystanie z narzędzia ProcDump w systemie Windows 266
  • Mimikittenz 269
  • Zrzucanie pamięci procesów w systemie Linux 270
  • Debugowanie procesów i pivotowanie w systemie macOS przy użyciu LLDB 273
  • Korzystanie z narzędzia Mimikatz w trybie offline 275
  • Śledzenie dostawcy WinINet 277
  • Deszyfrowanie ruchu TLS za pomocą rejestrowania kluczy TLS 282
  • Przeszukiwanie plików dzienników pod kątem poświadczeń i tokenów dostępu 288
  • Wyszukiwanie poufnych informacji w argumentach wiersza poleceń 293
  • Przeglądanie argumentów wiersza poleceń w systemach Windows przy użyciu Menedżera zadań oraz WMI 294
• Menedżer poświadczeń systemu Windows i Pęk kluczy systemu macOS 296
  
  • Korzystanie z Menedżera poświadczeń systemu Windows 297
  • Pęk kluczy systemu macOS 301
• Korzystanie z optycznego rozpoznawania znaków do wyszukiwania poufnych informacji na obrazach 302
• Eksploatacja domyślnych poświadczeń lokalnych kont administratorów 305
• Ataki phishingowe i spoofing monitów o poświadczenia 305
  
  • Wykorzystanie narzędzia osascript do spoofingu monitu o poświadczenia w systemie macOS 306
  • Wykorzystanie narzędzia zenity do spoofingu monitu o poświadczenia w systemie Linux 307
  • Wykorzystanie narzędzia PowerShell do spoofingu monitu o poświadczenia w systemie Windows 309
  • Wykorzystanie języków JavaScript i HTML do spoofingu okna dialogowego poświadczeń w przeglądarce 310
  • Używanie przezroczystych przekaźnikowych serwerów proxy do przeprowadzania ataków phishingowych 310
• Wykonywanie ataków typu password spray 312
  
  • Wykorzystanie programu PowerShell do ataków typu password spray 313
  • Wykonywanie ataków typu password spray z systemów macOS lub Linux (implementacja bash) 315
• Podsumowanie 316
• Pytania 317

Rozdział 9. Wszechstronna automatyzacja 319

• Wymagania techniczne 319
• Automatyzacja COM w systemach Windows 320
  
  • Używanie automatyzacji COM do celów ofensywnych testów bezpieczeństwa 321
• Osiąganie celów poprzez automatyzację programów z pakietu Microsoft Office 326
  
  • Automatyzacja wysyłania e-maili za pośrednictwem programu Outlook 326
  • Automatyzacja programu Microsoft Excel za pomocą modelu COM 328
  • Wykorzystanie automatyzacji COM do przeszukiwania dokumentów pakietu Office 331
  • Skrypty programu Windows PowerShell do przeszukiwania dokumentów pakietu office 333
• Automatyzacja i zdalne kontrolowanie przeglądarek internetowych jako technika ataków 337
  
  • Wykorzystanie Internet Explorera podczas posteksploatacji 338
  • Automatyzacja i zdalne kontrolowanie przeglądarki Google Chrome 343
  • Używanie zdalnego debugowania Chrome do szpiegowania użytkowników 348
  • Wykorzystanie Selenium do automatyzacji przeglądarek 353
  • Eksfiltrowanie informacji za pośrednictwem przeglądarki 363
• Podsumowanie 363
• Pytania 364

Rozdział 10. Ochrona pentestera 365

• Wymagania techniczne 366
• Blokowanie maszyn (tarcze w górę) 366
  
  • Ograniczenie powierzchni ataku w systemie Windows 367
  • Tryb utajony i ograniczanie powierzchni ataku w systemie macOS 370
  • Konfigurowanie nieskomplikowanego firewalla (UFW) w systemie Ubuntu 378
  • Blokowanie dostępu przez SSH 380
  • Zagrożenia komunikacji Bluetooth 381
  • Pilnowanie kont administratorów maszyn 381
  • Wykorzystanie niestandardowego pliku hostów do przekierowywania niechcianego ruchu do śmieci 383
  • Zachowywanie prywatności podczas wykorzystywania do pracy aplikacji typu Office Delve, G Suite czy Facebook 384
  • Bezpieczne usuwanie plików i szyfrowanie dysków twardych 384
• Ulepszanie dokumentacji za pomocą niestandardowych znaków zachęty powłoki hakera 385
  
  • Dostosowywanie znaków zachęty powłoki Bash 385
  • Dostosowywanie znaków zachęty programu PowerShell 386
  • Dostosowywanie znaków zachęty programu cmd.exe 387
  • Automatyczne rejestrowanie poleceń 387
  • Korzystanie z multiplekserów terminalowych i odkrywanie alternatywnych powłok 388
• Monitorowanie logowań i prób logowania oraz wysyłanie alertów 391
  
  • Wykorzystanie mechanizmu PAM do otrzymywania powiadomień związanych z logowaniem się w systemie Linux 392
  • Alerty o logowaniach w systemie macOS 400
  • Alerty o logowaniach w systemie Windows 400
• Podsumowanie 406
• Pytania 406

Rozdział 11. Pułapki, podstępy i honeypoty 407

• Wymagania techniczne 408
• Aktywna obrona zasobów pentestowych 408
• Korzystanie z audytowych list ACL systemu Windows 409
  
  • Użycie list SACL do skonfigurowania pliku do audytowania przez system Windows 409
  • Wyzwalanie zdarzenia inspekcji i zmiana zasad inspekcji systemu Windows 413
• Powiadomienia dla zdarzeń inspekcji pliku w systemie Windows 416
  
  • Wysyłanie powiadomień pocztą elektroniczną w systemie Windows 419
  • Tworzenie zaplanowanego zadania w celu uruchomienia monitora strażnika 421
• Budowanie strażnika gospodarzy, czyli podstawowej usługi systemu Windows do ochrony hostów 424
  
  • Instalowanie programu Visual Studio Community Edition i tworzenie szablonu usługi systemu Windows 425
  • Dodanie do szkieletu podstawowej funkcjonalności 426
  • Dodanie do usługi funkcjonalności logowania 430
  • Wykorzystanie pliku konfiguracyjnego w celu dostosowania ustawień 431
  • Dodanie instalatora do usługi 431
  • Usuwanie instalacji usługi Homefield Sentinel 435
• Monitorowanie dostępu do plików honeypotów w systemie Linux 437
  
  • Tworzenie pliku klucza RSA honeypota 437
  • Używanie narzędzia inotifywait do uzyskiwania podstawowych informacji o dostępie do pliku 438
  • Wykorzystanie narzędzia auditd do ochrony maszyn pentestowych 439
  • Powiadomienia wykorzystujące dyspozytor zdarzeń i niestandardowe rozszerzenia narzędzia audisp 444
• Alarmowanie o podejrzanym dostępie do plików w systemie macOS 446
  
  • Wykorzystanie narzędzia fs_usage do szybkiego i prostego monitorowania dostępu do plików 446
  • Tworzenie zadania demona LaunchDaemon do monitorowania dostępu do plików wabika 447
  • Obserwowanie strumienia zdarzeń audytowych OpenBSM 449
  • Konfigurowanie OpenBSM do inspekcji dostępu w celach odczytu plików wabików 450
• Podsumowanie 453
• Pytania 454

Rozdział 12. Taktyki zespołu niebieskiego stosowane wobec zespołu czerwonego 455

• Scentralizowane rozwiązania monitorowania wykorzystywane przez zespoły niebieskie 456
• Korzystanie z osquery w celu pozyskiwania informacji i ochrony zasobów pentestowych 457
  
  • Instalowanie oprogramowania osquery na Ubuntu 458
  • Podstawy obsługi osquery 459
  • Używanie osquery do monitorowania dostępu do plików wabików 464
• Wykorzystanie narzędzi Filebeat, Elasticsearch i Kibana 467
  
  • Uruchamianie systemu Elasticsearch przy użyciu Dockera 468
  • Instalowanie narzędzia Kibana do analizy plików dzienników 471
  • Konfigurowanie narzędzia Filebeat do wysyłania dzienników do Elasticsearch 472
  • Ostrzeganie za pomocą Watchera 477
• Podsumowanie 478
• Pytania 478

Dodatek A. Odpowiedzi 479