- 威胁狩猎(原理与实践)/网络空间安全技术丛书
- - 作者：林宝晶//钱钱//邹贵军|责编:杨福川//董惠芝
  - 出版社：机械工业
  - ISBN：9787111796855
  - 出版日期：2026/02/01
  - 页数：212
- 售价：35.6

内容大纲
    这是一本从原理、模型和实践三个维度全面讲解威胁狩猎的著作，旨在助力网络安全从业者快速构建结构化的主动威胁狩猎体系。本书由奇安信集团拥有20余年一线实战经验的网络安全专家领衔撰写，凝聚了其在网络实战攻防演习、安全运营等领域的深厚积累；同时汇集了来自大型央企、IT名企的网络安全专家智慧，确保了内容的前沿性与权威性。
    本书的价值得到了业界的高度认可，获得了来自微众银行、太平洋保险、京东、国泰海通证券多家头部企业安全负责人的联袂推荐。他们一致认为，本书不仅是一本技术手册，更传递了一种全新的安全理念：真正的防守不是构建无懈可击的壁垒，而是拥有发现威胁的敏锐嗅觉。
    全书一共8章，分为原理与实践两部分，握本书内容，您将收获：
    1）从零理解威胁狩猎的核心内涵，清晰辨析其与渗透测试、应急响应等相关概念的本质区别；
    2）深入掌握Sqrrl、Endgame及基于TTP的3大主流威胁狩猎模型，学会构建结构化的狩猎流程；
    3）全面了解10余种关键数据源及5种以上高级分析方法；
    4）通过3个真实企业级案例，独立完成从创建假设到狩猎闭环的完整实践；
    5）将狩猎成果反哺防御体系，建立“主动发现、主动防御”的核心安全竞争力。
    更具价值的是，本书附赠作者团队精心总结的50个威胁狩猎假设，覆盖主机、网络、应用等多个层面，拿来即可直接应用于日常工作。本书历时4年打磨而成，是每一位渴望在网络安全领域精进不休的从业者不容错过的案头必备手册。
作者介绍
目录
前言
第一部分  威胁狩猎原理
  第1章  什么是威胁狩猎
    1.1  威胁狩猎不是什么
      1.1.1  威胁狩猎不是应急响应
      1.1.2  威胁狩猎不是事件分析
      1.1.3  威胁狩猎不是攻击模拟
    1.2  威胁狩猎的概念
    1.3  威胁狩猎的特征
      1.3.1  主动
      1.3.2  假设驱动
      1.3.3  发现
      1.3.4  入侵痕迹和攻击行动
    1.4  为什么需要威胁狩猎
      1.4.1  安全产品的局限性
      1.4.2  高级攻击手段层出不穷
      1.4.3  缩短攻击者的内网驻留时间
      1.4.4  内部失陷环境感知能力不足
    1.5  威胁狩猎的内涵
    1.6  威胁狩猎的认识误区
    1.7  本章小结
  第2章  SqrrI威胁狩猎环
    2.1  SqrrI威胁狩猎环模型简介
    2.2  创建假设
      2.2.1  基于威胁情报创建假设
      2.2.2  基于态势感知创建假设
      2.2.3  基于领域知识创建假设
    2.3  通过工具与技术手段开展调查
    2.4  发现新威胁或者攻击TTP
    2.5  通知协作并提高自动化分析水平
    2.6  增强型SqrrI威胁狩猎环
    2.7  本章小结
  第3章  Endgame威胁狩猎环
    3.1  Endgame威胁狩猎环概述
    3.2  调查阶段
      3.2.1  选择资产
      3.2.2  监控资产
    3.3  加固阶段
    3.4  检测阶段
      3.4.1  检测攻击
      3.4.2  分析
    3.5  响应阶段
      3.5.1  清除攻击
      3.5.2  威胁狩猎报告
    3.6  本章小结
  第4章  基于TTP的威胁狩猎
    4.1  基于TTP的威胁狩猎概述
      4.1.1  理解TTP
      4.1.2  分析空间
      4.1.3  检测方法

      4.1.4  数据类型
    4.2  模型介绍
      4.2.1  恶意行为特征化
      4.2.2  过滤
      4.2.3  威胁狩猎执行
      4.2.4  报告
    4.3  本章小结
第二部分  威胁狩猎实践
  第5章  威胁狩猎数据源与分析方法
    5.1  确定数据源
    5.2  网络数据源
      5.2.1  防火墙日志
      5.2.2  NAT日志
      5.2.3  NIDS/IPS日志
      5.2.4  WAF日志
      5.2.5  流量威胁检测系统
    5.3  终端/主机数据
      5.3.1  终端防病毒日志
      5.3.2  EDR数据
    5.4  应用安全数据
      5.4.1  邮件安全网关
      5.4.2  准入系统日志
      5.4.3  DHCP日志
      5.4.4  DNS日志
    5.5  威胁狩猎分析方法
      5.5.1  搜索
      5.5.2  聚类
      5.5.3  分组
      5.5.4  堆叠
    5.6  本章小结
  第6章  Endgame威胁狩猎环实践
    6.1  案例背景
    6.2  准备
      6.2.1  资产选择
      6.2.2  回顾有效的IT资产和网络信息
      6.2.3  理解网络中的正常行为
      6.2.4  配置和部署威胁狩猎探针
    6.3  调查
      6.3.1  调查范围确定
      6.3.2  采集并分析数据
      6.3.3  扩展调查
      6.3.4  重新调整威胁狩猎优先级
    6.4  攻击者移除
    6.5  威胁狩猎报告
      6.5.1  威胁狩猎行动概要
      6.5.2  编写威胁狩猎报告
    6.6  本章小结
  第7章  SqrrI威胁狩猎环实践
    7.1  案例背景
    7.2  创建假设

    7.3  开展调查
      7.3.1  在主机上发现异常的命令执行
      7.3.2  在流量数据中找到内存马
    7.4  攻击特征提取
    7.5  自动化分析
    7.6  本章小结
  第8章  基于TTP的威胁狩猎环实践
    8.1  常见的基于TTP的威胁狩猎方法
      8.1.1  针对执行阶段的威胁狩猎方法
      8.1.2  针对命令与控制阶段的威胁狩猎方法
      8.1.3  针对横向移动阶段的威胁狩猎方法
      8.1.4  针对数据渗出阶段的威胁狩猎方法
    8.2  基于TTP的威胁狩猎完整案例
      8.2.1  案例背景
      8.2.2  基于情报收集数据
      8.2.3  检测恶意行为与调查
      8.2.4  发现新特征和TTP
    8.3  本章小结
后记
附录

内容大纲

作者介绍

目录

同类热销排行榜

推荐书目