تقریباً هر شرکتی از یک Endpoint Detection and Response (EDR) برای نظارت بر دستگاههای موجود در شبکه خود برای نشانههای حمله استفاده میکند. اما این بدان معنا نیست که مدافعان امنیتی نحوه عملکرد واقعی این سیستم ها را درک کنند. کتاب EDR این ابهام را برطرف میکند و شما را به بررسی چگونگی شناسایی فعالیتهای دشمن توسط EDRها آشنا می کند. فصل به فصل، خواهید آموخت که EDR یک جعبه سیاه جادویی نیست، بلکه فقط یک نرم افزار پیچیده است که بر روی چند مؤلفه آسان برای درک موارد ساخته شده است. نویسنده از سالها تجربه خود به عنوان اپراتور تیم قرمز برای بررسی هر یک از رایج ترین اجزای حسگر، بحث در مورد هدف آنها، توضیح پیاده سازی آنها و نشان دادن روش هایی که آنها نقاط مختلف داده را از سیستم عامل مایکروسافت جمع آوری می کنند، استفاده می کند. علاوه بر پوشش تئوری طراحی یک EDR موثر، هر فصل همچنین استراتژیهای فرار مستند برای دور زدن EDRها را نشان میدهد که تیمهای قرمز میتوانند در تعاملات خود استفاده کنند. بیوگرافی نویسنده: مت هند یک اپراتور با تجربه تیم قرمز با بیش از یک دهه تجربه است. زمینه های اصلی تمرکز او در تحقیقات آسیب پذیری و فرار EDR است که در آن زمان زیادی را صرف انجام تحقیقات مستقل، توسعه ابزار و انتشار محتوا می کند. مت در حال حاضر یک معمار خدمات در SpecterOps است که در آنجا بر بهبود قابلیتهای فنی و اجرایی تیم شبیهسازی دشمن تمرکز میکند، و همچنین به عنوان کارشناس موضوعی در زمینه تجارت فرار فعالیت میکند.
Date: 2024
Price: $47.99
Publisher: nostarch
By: Matt Hand
Format: EPUB, PDF, MOBI
ISBN-13: 9781718503342
Website: Link
Nearly every enterprise uses an Endpoint Detection and Response (EDR) agent to monitor the devices on their network for signs of an attack. But that doesn’t mean security defenders grasp how these systems actually work. This book demystifies EDR, taking you on a deep dive into how EDRs detect adversary activity. Chapter by chapter, you’ll learn that EDR is not a magical black box—it’s just a complex software application built around a few easy-to-understand components.
The author uses his years of experience as a red team operator to investigate each of the most common sensor components, discussing their purpose, explaining their implementation, and showing the ways they collect various data points from the Microsoft operating system. In addition to covering the theory behind designing an effective EDR, each chapter also reveals documented evasion strategies for bypassing EDRs that red teamers can use in their engagements.
Author Bio
Matt Hand is an experienced red team operator with over a decade of experience. His primary areas of focus are in vulnerability research and EDR evasion where he spends a large amount of time conducting independent research, developing tooling, and publishing content. Matt is currently a Service Architect at SpecterOps where he focuses on improving the technical and execution capabilities of the Adversary Simulation team, as well as serving as a subject matter expert on evasion tradecraft.
Table of contents
Acknowledgements
Introduction
Chapter 1: EDR-chitecture
Chapter 2: Function-Hooking DLLs
Chapter 3: Process- and Thread-Creation Notifications
Chapter 4: Object Notifications
Chapter 5: Image-Load and Registry Notifications
Chapter 6: Filesystem Minifilter Drivers
Chapter 7: Network Filter Drivers
Chapter 8: Event Tracing for Windows
Chapter 9: Scanners
Chapter 10: Anti-Malware Scan Interface
Chapter 11: Early Launch Antimalware Drivers
Chapter 12: Microsoft-Windows-Threat-Intelligence
Chapter 13: Case Study: A Detection-Aware Attack
Appendix: Auxiliary Sources
- Design