ATT＆CK框架实践指南

后折页

附录B ATT&CK攻击与SHIELD防御映射图

附录A ATT&CK战术及场景实践

13.5 总结

13.4 测评结果

13.3 测评内容

13.2 测评流程

13.1 测评方法

第13章 ATT&CK测评

12.4 MITRE Shield使用入门

12.3 MITRE Shield与ATT&CK的映射

12.2 MITRE Shield矩阵模型

12.1 MITRE Shield背景介绍

第12章 MITRE Shield主动防御框架

第四部分 ATT&CK生态篇

11.3 威胁狩猎的行业实战

11.2 ATT&CK与威胁狩猎

11.1 威胁狩猎的开源项目

第11章 基于ATT&CK的威胁狩猎

10.3 基于ATT&CK的模拟攻击

10.2 基于ATT&CK的运营实践

10.1 基于ATT&CK的运营流程

第10章 基于ATT&CK的安全运营

9.2 ATT&CK实践的常见误区

9.1 ATT&CK的四大使用场景

第9章 ATT&CK场景实践

8.2 ATT&CK实践应用项目

8.1 ATT&CK三个关键工具

第8章 ATT&CK应用工具与项目

第三部分 ATT&CK实践篇

7.8 收集：T1560.001通过程序压缩的检测

7.7 横向移动：T1550.002哈希传递攻击的检测

7.6 发现：T1069.002域用户组的检测

7.5 凭证访问：T1552.002注册表中的凭证的检测

7.4 防御绕过：T1055.001 DLL注入的检测

7.3 权限提升：T1546.015组件对象模型劫持的检测

7.2 持久化：T1543.003创建或修改系统进程（Windows服务）的检测

7.1 执行：T1059命令和脚本解释器的检测

第7章 蓝队视角：攻击技术的检测示例

6.12 通过停止服务造成危害

6.11 成功窃取数据

6.10 通过命令与控制通道传递攻击载荷

6.9 自动化收集内网数据

6.8 基于SMB实现横向移动

6.7 基于操作系统程序发现系统服务

6.6 基于暴力破解获得凭证访问权限

6.5 基于Rootkit实现防御绕过

6.4 基于进程注入实现提权

6.3 基于浏览器插件实现持久化

6.2 基于WMI执行攻击技术

6.1 基于本地账户的初始访问

第6章 红队视角：典型攻击技术的复现

5.10 伪装（T1036）的分析与检测

5.9 系统服务（T1569）的分析与检测

5.8 入口工具转移（T1105）的分析与检测

5.7 混淆文件或信息（T1027）的分析与检测

5.6 进程注入（T1055）的分析与检测

5.5 OS凭证转储（T1003）的分析与检测

5.4 计划任务/作业（T1053）的分析与检测

5.3 创建或修改系统进程（T1543）的分析与检测

5.2 利用已签名二进制文件代理执行（T1218）的分析与检测

5.1 命令和脚本解析器（T1059）的分析与检测

第5章 十大高频攻击技术的分析与检测

4.10 蠕虫病毒Gamarue的分析与检测

4.9 银行木马TrickBot的分析与检测

4.8 银行木马Emotet的分析与检测

4.7 银行木马Dridex的分析与检测

4.6 恶意软件Shlayer的分析与检测

4.5 凭证转储工具Mimikatz的分析与检测

4.4 银行木马lcedlD的分析与检测

4.3 银行木马Qbot的分析与检测

4.2 漏洞利用工具Cobalt Strike的分析与检测

4.1 TA551攻击行为的分析与检测

第4章 十大攻击组织和恶意软件的分析与检测

第二部分 ATT&CK提高篇

3.3 ATT&CK数据源的运用示例

3.2 升级ATT&CK数据源的使用情况

3.1 当前ATT&CK数据源利用急需解决的问题

第3章 数据源：ATT&CK应用实践的前提

2.2 针对Kubernetes的攻防矩阵

2.1 针对容器的ATT&CK攻防矩阵

第2章 新场景示例：针对容器和Kubernetes的ATT&CK攻防矩阵

1.3 ATT&CK框架实例说明

1.2 ATT&CK框架的对象关系介绍

1.1 MITRE ATT&CK是什么

第1章 潜心开始MITRE ATT&CK之旅

第一部分 ATT&CK入门篇

前言

序言

推荐语

推荐序

内容简介

作者简介

版权信息

封面

封面

版权信息

作者简介

内容简介

推荐序

推荐语

序言

前言

第一部分 ATT&CK入门篇

第1章 潜心开始MITRE ATT&CK之旅

1.1 MITRE ATT&CK是什么

1.2 ATT&CK框架的对象关系介绍

1.3 ATT&CK框架实例说明

第2章 新场景示例：针对容器和Kubernetes的ATT&CK攻防矩阵

2.1 针对容器的ATT&CK攻防矩阵

2.2 针对Kubernetes的攻防矩阵

第3章 数据源：ATT&CK应用实践的前提

3.1 当前ATT&CK数据源利用急需解决的问题

3.2 升级ATT&CK数据源的使用情况

3.3 ATT&CK数据源的运用示例

第二部分 ATT&CK提高篇

第4章 十大攻击组织和恶意软件的分析与检测

4.1 TA551攻击行为的分析与检测

4.2 漏洞利用工具Cobalt Strike的分析与检测

4.3 银行木马Qbot的分析与检测

4.4 银行木马lcedlD的分析与检测

4.5 凭证转储工具Mimikatz的分析与检测

4.6 恶意软件Shlayer的分析与检测

4.7 银行木马Dridex的分析与检测

4.8 银行木马Emotet的分析与检测

4.9 银行木马TrickBot的分析与检测

4.10 蠕虫病毒Gamarue的分析与检测

第5章 十大高频攻击技术的分析与检测

5.1 命令和脚本解析器（T1059）的分析与检测

5.2 利用已签名二进制文件代理执行（T1218）的分析与检测

5.3 创建或修改系统进程（T1543）的分析与检测

5.4 计划任务/作业（T1053）的分析与检测

5.5 OS凭证转储（T1003）的分析与检测

5.6 进程注入（T1055）的分析与检测

5.7 混淆文件或信息（T1027）的分析与检测

5.8 入口工具转移（T1105）的分析与检测

5.9 系统服务（T1569）的分析与检测

5.10 伪装（T1036）的分析与检测

第6章 红队视角：典型攻击技术的复现

6.1 基于本地账户的初始访问

6.2 基于WMI执行攻击技术

6.3 基于浏览器插件实现持久化

6.4 基于进程注入实现提权

6.5 基于Rootkit实现防御绕过

6.6 基于暴力破解获得凭证访问权限

6.7 基于操作系统程序发现系统服务

6.8 基于SMB实现横向移动

6.9 自动化收集内网数据

6.10 通过命令与控制通道传递攻击载荷

6.11 成功窃取数据

6.12 通过停止服务造成危害

第7章 蓝队视角：攻击技术的检测示例

7.1 执行：T1059命令和脚本解释器的检测

7.2 持久化：T1543.003创建或修改系统进程（Windows服务）的检测

7.3 权限提升：T1546.015组件对象模型劫持的检测

7.4 防御绕过：T1055.001 DLL注入的检测

7.5 凭证访问：T1552.002注册表中的凭证的检测

7.6 发现：T1069.002域用户组的检测

7.7 横向移动：T1550.002哈希传递攻击的检测

7.8 收集：T1560.001通过程序压缩的检测

第三部分 ATT&CK实践篇

第8章 ATT&CK应用工具与项目

8.1 ATT&CK三个关键工具

8.2 ATT&CK实践应用项目

第9章 ATT&CK场景实践

9.1 ATT&CK的四大使用场景

9.2 ATT&CK实践的常见误区

第10章 基于ATT&CK的安全运营

10.1 基于ATT&CK的运营流程

10.2 基于ATT&CK的运营实践

10.3 基于ATT&CK的模拟攻击

第11章 基于ATT&CK的威胁狩猎

11.1 威胁狩猎的开源项目

11.2 ATT&CK与威胁狩猎

11.3 威胁狩猎的行业实战

第四部分 ATT&CK生态篇

第12章 MITRE Shield主动防御框架

12.1 MITRE Shield背景介绍

12.2 MITRE Shield矩阵模型

12.3 MITRE Shield与ATT&CK的映射

12.4 MITRE Shield使用入门

第13章 ATT&CK测评

13.1 测评方法

13.2 测评流程

13.3 测评内容

13.4 测评结果

13.5 总结

附录A ATT&CK战术及场景实践

附录B ATT&CK攻击与SHIELD防御映射图

后折页