O autorze
O recenzencie
Przedmowa
Część 1. Podstawy reagowania na incydenty i kryminalistyki cyfrowej
Rozdział 1. Czym jest reagowanie na incydenty
Proces reagowania na incydenty
Rola kryminalistyki cyfrowej
Ramy reagowania na incydenty
Karta reagowania na incydenty
Zespół CSIRT
Plan reagowania na incydenty
Klasyfikowanie incydentów
Podręcznik reagowania na incydenty
Proces eskalacji
Testowanie ram reagowania na incydenty
Podsumowanie
Pytania
Literatura uzupełniająca
Rozdział 2. Zarządzanie incydentami cyberbezpieczeństwa
Angażowanie zespołu reagowania na incydenty
Modele angażowania zespołów CSIRT
Badanie incydentów
Centrum operacyjne zespołu CSIRT
Komunikacja
Rotowanie personelu
SOAR
Uwzględnianie komunikacji kryzysowej
Komunikacja wewnętrzna
Komunikacja zewnętrzna
Powiadomienie publiczne
Uwzględnianie strategii powstrzymania
Powrót do normalności – likwidacja, odtworzenie i działania po incydencie
Podsumowanie
Pytania
Lektura uzupełniająca
Rozdział 3. Podstawy kryminalistyki cyfrowej
Rozwój kryminalistyki
Zasada wymiany Locarda
Zagadnienia prawne w kryminalistyce cyfrowej
Regulacje prawne
Zasady postępowania z dowodami
Procedury kryminalistyczne w reagowaniu na incydenty
Krótka historia kryminalistyki cyfrowej
Proces kryminalistyki cyfrowej
Laboratorium kryminalistyki cyfrowej
Podsumowanie
Pytania
Lektura uzupełniająca
Rozdział 4. Metoda dochodzeniowa
Studium przypadku analizy włamań: kukułcze jajo
Rodzaje dochodzeń cyfrowych
Funkcjonalna metoda dochodzenia cyfrowego
Identyfikacja i określanie zakresu
Zbieranie dowodów
Wstępna analiza incydentu
Wstępna korelacja
Normalizacja incydentu
Dekonfliktowanie zdarzenia
Druga korelacja
Oś czasu
Analiza kill chain
Raportowanie
Łańcuch kill chain
Model diamentowy analizy włamań
Aksjomaty modelu diamentowego
Kombinacja modelu diamentowego i analizy włamań łańcucha kill chain
Atrybucja
Podsumowanie
Pytania
Część 2. Pozyskiwanie dowodów
Rozdział 5. Zbieranie dowodów sieciowych
Przegląd dowodów sieciowych
Przygotowanie
Schemat sieci
Konfiguracja
Zapory ogniowe i dzienniki proxy
Zapory sieciowe
Zapory aplikacji internetowych
Internetowe serwery proxy
NetFlow
Przechwytywanie pakietów
tcpdump
WinPcap i RawCap
Wireshark
Zbieranie dowodów
Podsumowanie
Pytania
Lektura uzupełniająca
Rozdział 6. Pozyskiwanie dowodów opartych na hoście
Przygotowania
Hierarchia ulotności
Pozyskiwanie dowodów
Procedury zbierania dowodów
Pozyskiwanie z pamięci ulotnej
FTK Imager
WinPmem
RAM Capturer
Systemy wirtualne
Pozyskiwanie dowodów nieulotnych
Pozyskiwanie plików chronionych za pomocą programu FTK
Narzędzie CyLR
Kroll Artifact Parser and Extractor
Podsumowanie
Pytania
Lektura uzupełniająca
Rozdział 7. Zdalne gromadzenie dowodów
Wyzwania związane z reagowaniem na incydenty w organizacji
Wykrywanie w punktach końcowych i reagowanie
Omówienie i implementacja narzędzia Velociraptor
Serwer narzędzia Velociraptor
Moduł zbierający narzędzia Velociraptor dla systemu Windows
Velociraptor a scenariusze
Zbieranie dowodów z użyciem narzędzia Velociraptor
CyLR
WinPmem
Podsumowanie
Pytania
Rozdział 8. Obrazowanie kryminalistyczne
Czym jest obrazowanie kryminalistyczne
Obraz kontra kopia
Woluminy logiczne i fizyczne
Rodzaje plików obrazów
SSD kontra HDD
Narzędzia do obrazowania
Przygotowanie dysku do przechowywania obrazów
Korzystanie z blokad zapisu
Techniki obrazowania
Obrazowanie przy wyłączonym systemie
Obrazowanie na żywo
Systemy wirtualne
Obrazowanie w systemie Linux
Podsumowanie
Pytania
Lektura uzupełniająca
Część 3. Badanie dowodów
Rozdział 9. Badanie dowodów sieciowych
Przegląd dowodów sieciowych
Analiza dzienników zapory sieciowej i proxy
Narzędzia SIEM
Elastic Stack
NetFlow
Analizowanie przechwyconych pakietów
Narzędzia wiersza poleceń
Real Intelligence Threat Analytics
NetworkMiner
Arkime
Wireshark
Podsumowanie
Pytania
Lektura uzupełniająca
Rozdział 10. Badanie pamięci systemowej
Omówienie analizy pamięci
Metodyka analizy pamięci
Sześcioetapowa metodyka SANS
Metodyka połączeń sieciowych
Narzędzia do badania pamięci
Analiza pamięci z wykorzystaniem Volatility
Volatility Workbench
Badanie pamięci z wykorzystaniem Strings
Instalowanie Strings
Typowe wyszukiwania w Strings
Podsumowanie
Pytania
Lektura uzupełniająca
Rozdział 11. Analiza systemowej pamięci masowej
Platformy kryminalistyczne
Autopsy
Instalowanie Autopsy
Zakładanie nowego dochodzenia
Dodawanie dowodów
Poruszanie się w Autopsy
Badanie dochodzenia
Analiza głównej tablicy plików
Analiza prefetch
Analiza rejestru
Podsumowanie
Pytania
Lektura uzupełniająca
Rozdział 12. Analizowanie plików dziennika
Dzienniki i zarządzanie nimi
Korzystanie z systemów SIEM
Splunk
Elastic Stack
Security Onion
Dzienniki systemu Windows
Dzienniki zdarzeń systemu Windows
Analiza dzienników zdarzeń systemu Windows
Pozyskiwanie dzienników
Triaż
Szczegółowa analiza dziennika zdarzeń
Podsumowanie
Pytania
Lektura uzupełniająca
Rozdział 13. Tworzenie raportu o incydencie
Przegląd dokumentacji
Co należy dokumentować
Rodzaje dokumentacji
Źródła danych
Odbiorcy
Raport wykonawczy
Raport z dochodzenia w sprawie incydentu
Raport kryminalistyczny
Przygotowanie raportu kryminalistycznego z incydentu
Sporządzanie notatek
Język raportu
Podsumowanie
Pytania
Lektura uzupełniająca
Część 4. Reagowanie na incydenty związane z oprogramowaniem ransomware
Rozdział 14. Przygotowanie i reagowanie na oprogramowanie ransomware
Historia oprogramowania ransomware
CryptoLocker
CryptoWall
CTB-Locker
TeslaCrypt
SamSam
Locky
WannaCry
Ryuk
Analiza przypadku oprogramowania ransomware Conti
Kontekst
Ujawnienie operacyjne
Taktyki i techniki
Eksfiltracja
Wpływ
Właściwe przygotowanie na ransomware
Odporność na oprogramowanie ransomware
Przygotowanie zespołu CSIRT
Likwidacja i odzyskiwanie
Powstrzymywanie
Likwidacja
Odzyskiwanie
Podsumowanie
Pytania
Informacje uzupełniające
Rozdział 15. Dochodzenie w sprawie ransomware
Początkowy dostęp i wykonanie oprogramowania ransomware
Uzyskanie początkowego dostępu
Wykonanie
Uzyskiwanie dostępu do danych uwierzytelniających i ich kradzież
ProcDump
Mimikatz
Badanie działań poeksploatacyjnych
Dowodzenie i kontrola
Security Onion
RITA
Arkime
Badanie technik ruchu bocznego
Podsumowanie
Pytania
Lektura uzupełniająca
Część 5. Analiza i polowanie na zagrożenia
Rozdział 16. Analiza złośliwego oprogramowania w reagowaniu na incydenty
Przegląd analizy złośliwego oprogramowania
Klasyfikacja złośliwego oprogramowania
Konfigurowanie piaskownicy na potrzeby złośliwego oprogramowania
Piaskownica lokalna
Piaskownica w chmurze
Analiza statyczna
Analiza właściwości statycznych
Analiza dynamiczna
Eksplorator procesów
Process Spawn Control
Zautomatyzowana analiza
ClamAV
YARA
yarGen
Podsumowanie
Pytania
Lektura uzupełniająca
Rozdział 17. Korzystanie z analizy cyberzagrożeń
Czym jest analiza cyberzagrożeń
Rodzaje analiz cyberzagrożeń
Piramida bólu
Metodyka analizy cyberzagrożeń
Pozyskiwanie informacji o cyberzagrożeniach
Źródła opracowywane wewnętrznie
Źródła komercyjne
Źródła open source
Baza MITRE ATT&CK
Korzystanie z IOC i IOA
Analiza cyberzagrożeń w reagowaniu na incydenty
Autopsy
Maltego
YARA i Loki
Podsumowanie
Pytania
Lektura uzupełniająca
Rozdział 18. Polowanie na cyberzagrożenia
Czym jest polowanie na zagrożenia
Cykl wykrywania zagrożeń
Raportowanie działań związanych z polowaniem na zagrożenia
Model dojrzałości polowania na zagrożenia
Stawianie hipotezy
MITRE ATT&CK
Planowanie polowania na zagrożenia
Cyfrowe techniki kryminalistyczne w polowaniu na zagrożenia
EDR w polowaniu na zagrożenia
Podsumowanie
Pytania
Lektura uzupełniająca
Dodatek
Odpowiedzi
Skorowidz
Opinie
Na razie nie ma opinii o produkcie.