本書を手に取った背景
CISSPを受験するに当たり気になったので読んでみたくなった。
Mitter Attackについてちゃんと調べたことがなかったけど、本書に記載がありそうだった。
本書のテーマ
脅威インテリジェンスアナリスト向けに知識・技術が身につけられる。
個人的なポイント
1,
SIGINT:セキュリティ機器から取得するアラート
OSINT:様々な媒体からの情報
HUMINT:内部ユーザー、セキュリティーベンダーからの情報
2,IOC
indicaroe of compromise・侵害指標。実際に発生した攻撃手法を特定するための技術的特性情報
3,脆弱性管理のアプローチ
情報収集→トリアージ→対応
4,ドメインフローティング
あまり聞いたことがなかったので気になった。CDNの機能を悪用し、C2通信を正規通信に予想王こと。
5,Mitre Att&ckの6つの要素
tactics,戦術
techniques,技術
common knowledge,手順
advisery group,グループ
software,ソフトウェア
mitigration,対策
6,blue teamの注目すべきポイント
不審なアウトバウンド通信、特権ユーザによる異常な行動など
7,インシデント対応プロセス
事前準備→特定→封じ込め→根絶→復旧→教訓→最初に戻る
8,収集すべき技術指標
9,工作フェーズ
攻撃グループについて更に調査を行うこと。将来の攻撃の予防をする
今後やれること
・SIEMやXDRの調査方法を考える
まとめ
これ一冊で脅威の分析に関する考え方はわかるように思う。