网络攻防，一触即发！企业安全防护的必读宝典来了...

在当前网络威胁日益复杂化的背景下，终端安全运营的重要性不言而喻。终端设备作为企业信息交互的前线，其安全性直接关系到企业的数据安全和业务连续性。本书不仅凝聚了奇安信集团在网络安全运营方面的丰富经验，还系统地介绍了终端安全运营的理论与实践，对于提升企业网络安全防御能力具有重要的参考价值。

书中深入探讨了终端安全运营的必要性，强调了建立全面的终端安全运营体系对于防御高级持续性威胁（APT）等复杂攻击的重要性。通过体系化防御、全场景管控、数字化运营和实战化验证等策略，本书指导读者如何构建起一套行之有效的终端安全运营机制。

市场上首本指导企业从安全防护、检测等方向体系化建设自身安全运营的实践指南。

扫码了解 ↑

视频解读

读者对象

• 企业安全运营人员；

• 企业IT管理人员；

• 企业安全负责人；

• 终端攻防技术爱好者；

• 安全相关专业的大学生。

主要内容

本书共7章，各章主要内容如下：

第1章　终端安全运营基础

首先介绍企业终端面临的风险和企业终端的两个属性，然后阐述企业终端安全运营的必要性，最后结合奇安信的终端安全运营经验，给出企业开展终端安全运营工作的思路。

第2章　终端安全运营架构

主要介绍终端安全运营架构，包括安全运营流程、安全运营人员职责及工作指标、安全运营平台。

第3章　终端安全管理软件推装与资产管理

主要讲解终端安全管理软件推装、终端资产实名登记，以及终端策略和分组管理。

第4章　终端安全防护与运营

根据攻击者的入侵流程，介绍终端安全的防护与运营，包括系统加固、入口防护、病毒查杀、主动防御、终端威胁检测与响应（EDR）、高级威胁防御和网络外联防护。此外，还讲解了远控木马、勒索病毒、挖矿病毒、窃密木马、网络攻击、流氓软件等基础威胁类型的检测和防御方法。

第5章　终端高级攻击检测与防御

首先介绍在安全运营中，面对海量告警，如何通过威胁建模发现真实的安全事件；然后介绍初始访问、防御规避、权限提升、凭据窃取、横向移动、持久化、命令控制等攻击阶段的威胁检测与防御方法；最后介绍APT攻击组织的研究思路，并解析了两个APT攻击研究案例—Saaiwc组织和SideCopy组织。

第6章　终端安全事件运营

主要介绍终端安全事件运营流程、应急响应流程、响应与复盘案例、运营流程优化，以及安全知识图谱应用、运营成果体现方式等。

第7章　有效性验证与攻防实战

有效性验证能够帮助组织发现安全运营流程和机制中的问题，以便及时改进。这一章主要介绍攻击日志重放验证、攻击流程自动化验证和常态化攻防演练。

目录

上拉下滑查看目录 ↓

Contents 目　　录

作者名单

前言

第1章　终端安全运营基础  1

1.1　企业终端面临的风险  1

1.2　企业终端的两个属性  3

1.2.1　工作终端的设备属性  3

1.2.2　终端背后人的不确定性  4

1.3　企业终端安全运营的必要性  5

1.3.1　运营工作的必要性  5

1.3.2　安全运营工作的必要性  5

1.3.3　终端安全运营工作的必要性  7

1.4　企业如何有效开展终端安全运营工作  7

1.4.1　体系化防御  8

1.4.2　全场景管控  9

1.4.3　数字化运营  11

1.4.4　实战化验证  12

第2章　终端安全运营架构  13

2.1　终端安全运营架构总览  13

2.2　安全运营流程  15

2.2.1　建立安全制度  16

2.2.2　安全意识宣传和培训  19

2.2.3　安全防护和基础运营  20

2.2.4　威胁建模和入侵检测  20

2.2.5　实战攻防和有效性验证  21

2.2.6　事件应急响应和处置  22

2.2.7　事件复盘和风险治理  22

2.3　安全运营人员职责及工作指标  22

2.3.1　模拟攻击队  23

2.3.2　安全资产运营  23

2.3.3　基础安全运营  24

2.3.4　一线安全运营  24

2.3.5　二线安全运营  25

2.3.6　工作指标说明  25

2.4　安全运营平台  26

2.4.1　终端安全管理平台  27

2.4.2　SOC平台  31

第3章　终端安全管理软件推装与资产管理  41

3.1　终端安全管理软件推装  41

3.1.1　安装终端安全管理软件的必要性  41

3.1.2　终端安全管理软件推装挑战  43

3.1.3　提高终端安全管理软件的安装率  44

3.1.4　终端安全管理软件安装特例  47

3.2　终端资产实名登记  50

3.2.1　终端资产实名登记的价值  50

3.2.2　实现终端资产实名登记的措施  51

3.3　终端策略和分组管理  51

3.3.1　策略的配置原则  52

3.3.2　分组管理  52

第4章　终端安全防护与运营  55

4.1　系统加固  55

4.1.1　终端管控  55

4.1.2　漏洞运营  63

4.1.3　基线核查  72

4.2　入口防护  102

4.2.1　邮件安全防护  102

4.2.2　下载传输防护  108

4.2.3　远程暴力破解防护  108

4.3　病毒查杀  109

4.3.1　查杀引擎与查杀机制  110

4.3.2　病毒查杀运营  113

4.4　主动防御  128

4.4.1　主动防御能力  129

4.4.2　主动防御运营  132

4.5　EDR  135

4.5.1　EDR的主要功能  135

4.5.2　EDR日志采集要求  137

4.5.3　EDR运营  138

4.6　高级威胁防御  139

4.7　网络外联防护  140

4.8　基础威胁类型的检测与防御  140

4.8.1　远控木马检测与防御  141

4.8.2　勒索病毒检测与防御  143

4.8.3　挖矿病毒检测与防御  144

4.8.4　窃密木马检测与防御  145

4.8.5　网络攻击检测与防御  145

4.8.6　流氓软件治理与防御  147

第5章　终端高级攻击检测与防御  149

5.1　终端威胁防御需求  149

5.2　基于安全日志的威胁建模  150

5.2.1　安全日志规则运营  150

5.2.2　复杂攻击场景建模与检测  159

5.3　基于攻击阶段的威胁检测与防御  171

5.3.1　初始访问检测与防御  171

5.3.2　防御规避检测与防御  182

5.3.3　权限提升检测与防御  199

5.3.4　凭据窃取检测与防御  201

5.3.5　横向移动检测与防御  209

5.3.6　持久化检测与防御  223

5.3.7　命令控制检测与防御  244

5.4　基于APT攻击组织研究的威胁检测与防御  248

5.4.1　APT攻击组织研究思路  248

5.4.2　APT攻击研究案例1：Saaiwc组织  249

5.4.3　APT攻击研究案例2：SideCopy组织  258

第6章　终端安全事件运营  267

6.1　终端安全事件运营流程  267

6.2　终端安全事件应急响应流程  271

6.2.1　检测和发现  273

6.2.2　信息收集  274

6.2.3　止损和抑制  277

6.2.4　清除和恢复  278

6.2.5　复盘和溯源  279

6.3　终端安全事件响应与复盘案例  282

6.3.1　Fake Telegram事件  282

6.3.2　Navicat后门事件  300

6.3.3　Minerd挖矿木马事件  320

6.4　终端安全事件运营流程优化  332

6.4.1　告警自动下发确认  332

6.4.2　处置动作自动化  333

6.4.3　SOAR自动化  336

6.4.4　日志图检索  338

6.5　安全知识图谱应用  340

6.5.1　安全领域应用场景  340

6.5.2　安全运营应用场景  341

6.6　终端事件安全运营成果体现方式  351

6.6.1　事件总结  351

6.6.2　检测能力成果总结  353

6.6.3　运营指标体现  353

第7章　有效性验证与攻防实战  354

7.1　有效性验证的意义  354

7.2　攻击日志重放验证  355

7.3　攻击流程自动化验证  357

7.3.1　攻击手法知识库  357

7.3.2　攻击自动化  359

7.4　常态化攻防演练  364

7.4.1　攻击队内部渗透  364

7.4.2　年度内部攻防  364

7.4.3　内部钓鱼测试  366

了解更多

扫描二维码关注我们