《网络安全监控实战（深入理解事件检测与响应）》由全球顶尖安全公司FireEye（火眼）首席安全战略官、网络安全公司Mandiant首席安全官理查德·贝特利奇撰写，深入解读网络安全监控的核心思想、工具和最佳实践，从网络安全监控的原理、工具选型、环境部署到攻击的识别、发现与截击，详细讲解网络安全监控（NSM）主流工具的使用。

全书分为四部分，共14章：第一部分（第1～2章）系统讲述NSM的基本原理以及如何部署传感器以应对各种挑战；第二部分（第3～5章）讲解SO在硬件上的安装与配置，SO的单机与分布式环境的安装与部署，以及SO平台的运行维护；第三部分（第6～8章）主要介绍NSM工具链的应用，涵盖命令行和图形化的数据包分析工具（发现问题），以及NSM控制台（启动检测和响应流程）；第四部分（第9～14章）为实战部分，讲解如何建立有效的NSM团队．发现并制止服务器端和客户端的攻击，利用Bro来扩展SO成果，代理与校验和的识别与利用，NSM在云和协作环境下应用的新思想。

网络安全并不简单是坚不可摧的防御墙——志坚意决的攻击者终将突破传统的防御手段。网络安全监控（NSM）整合了最有效的计算机安全策略——收集并分析数据，以助你检测和响应入侵。

在《网络安全监控实战（深入理解事件检测与响应）》中，火眼公司首席安全战略官、Mandiant首席安全官理查德·贝特利奇（Richard Bejtlich）向你展示了如何使用NSM在网络周围增添一个坚固的保护层，而无须先验知识。为避免使用“过高”或“不灵活”的解决方案，他使用开源软件和中立厂商的工具教你部署、创建及运行NSM。

通过阅读本书，你将会学到：如何确定在哪里部署NSM平台，并根据受监控的网络进行调整；如何部署单机或分布式NSM设备；如何使用命令行和图形化包分析工具及NSM控制台；如何从服务器端和客户端入侵截获网络证据；如何将威胁情报整合到NSM软件来识别高级对手。

没有百分之百安全的方式能将攻击者阻止在你的网络之外，但是当他们侵入时，你需要有所准备。本书展示了如何构建一张安全之网，来检测、牵制并控制他们。攻击不可避免，但丢失敏感数据的情况则不应当发生。

译者序

序

前言

第一部分　准备开始

 第1章　网络安全监控基本原理

1.1　NSM简介

 1.1.1　NSM阻止入侵吗

 1.1.2　NSM和持续监控的区别

 1.1.3　NSM与其他方法相比如何呢

 1.1.4　NSM为什么有效

 1.1.5　如何配置

 1.1.6　NSM何时无效

 1.1.7　NSM合法吗

 1.1.8　在NSM作业期间如何保护用户隐私

1.2　一个简单的NSM测试

1.3　NSM数据的范围

 1.3.1　完整内容数据

 1.3.2　提取的内容数据

 1.3.3　会话数据

 1.3.4　事务数据

 1.3.5　统计数据

 1.3.6　元数据

 1.3.7　警报数据

1.4　所有这些数据的关键是什么

1.5　NSM的缺点

1.6　在哪购NSM

1.7　到哪里寻求支持或更多信息

1.8　结论

 第2章　收集网络流量：访问、存储和管理

2.1　试验性NSM系统的网络示例

 2.1.1　简单网络中的网络流

 2.1.2　NSM的潜在位置

2.2　IP地址与网络地址转换

 2.2.1　网络块

 2.2.2　IP地址分配

 2.2.3　地址转换

2.3　选择实现网络可见性的最佳位置

 2.3.1　观察DMZ网络流量的位置

……

第二部分　SO部署

 第3章　单机NSM部署与安装

 第4章　分布式部署

 第5章　SO平台的日常管理

第三部分　工具

 第6章　命令行下的数据包分析工具

 第7章　图形化数据包分析工具

 第8章　NSM控制台

第四部分　NSM实践

 第9章　NSM操作

 第10章　服务器端攻击

 第11章　客户端攻击

 第12章　扩展SO

 第13章　代理与校验和

 第14章　总论

附录　SO脚本与配置