安全技术运营 方法与实践

（1）作者背景资深：作者是财付通安全技术总监，腾讯安全专家工程师，国内较早一批安全从业者。（2）作者经验丰富：作者从事安全技术、产品、运营16年，在金山和腾讯参与和主导了数十款安全产品的能力建设和运营系统构建。（3）安全运营方法：从威胁发现、危险分析到威胁处理，本书讲解了全套的安全运营方法。（4）安全运营体系：从产品视角、企业视角、XDR视角讲解了安全运营体系的能力模型和构建方法。

这是一本从实践角度讲解安全技术运营方法和安全运营体系构建的著作。作者是国内较早的一批安全领域从业者，在金山、腾讯等大厂从事安全技术、产品、运营等方面的工作16年，先后参与或主导了数十个安全产品的能力建设和运营，从零构建了完整的安全运营体系，经验非常丰富。本书是作者经验的总结，核心内容包括如下几个方面：（1）全面认识安全技术运营：包括安全技术运营的定义、发展历史以及6种运营思维。（2）威胁发现的技术和方法：包括特征识别、行为识别、大数据挖掘等发现威胁的方法。（3）威胁分析的技术和方法：主要介绍了传统的人工方法和基于人工智能的算法建模新方法。（4）威胁处理的技术和方法：主要介绍了威胁情报、网络威胁解决方案、终端威胁解决方案，以及为不同规模的企业定制的安全解决方案。（5）安全运营体系构建：从产品视角、企业视角以及XDR的视角讲解了安全运营体系的能力模型与构建方法。本书适合从事安全产品研发的项目经理、产品经理、安全开发、安全策略运营、安全技术咨询，从事企业安全建设的安全工程师、IT运维人员，以及网络信息安全专业的学生和安全技术爱好者。

前言
第1章什么是安全技术运营1
1.1网络威胁简介1
1.1.1什么是恶意程序1
1.1.2经典网络攻击7
1.1.3业务安全攻击12
1.2安全运营简介14
1.2.1安全运营的定义14
1.2.2安全运营发展史14
1.2.3恶意程序对抗17
1.2.4云查杀和云主防介绍20
1.2.5大数据应用介绍21
1.3技术运营推荐的6种思维23
1.3.1逻辑思维25
1.3.2水平思维27
1.3.3全局思维29
1.3.4系统性思维32
1.3.5大数据思维36
1.3.6算法思维38
第2章威胁发现42
2.1特征识别技术42
2.1.1特征定位42
2.1.2启发式发掘48
2.1.3特征空间和有监督学习52
2.2行为识别技术55
2.2.1行为遥测探针55
2.2.2动态分析系统58
2.2.3行为规则和决策树62
2.3机器智能初探：使用大数据发现威胁70
2.3.1模式匹配71
2.3.2基线感知76
2.3.3模式匹配实时感知系统80
2.3.4监督学习应用优化81
2.3.5应用机器智能解决检测难点84
2.3.6应用机器智能发现相似威胁88
2.3.7恶意家族监控89
2.3.8安全基线建模93
第3章威胁分析100
3.1人工分析应具备的技能100
3.1.1定性分析101
3.1.2溯源分析105
3.1.3趋势分析111
3.2机器智能进阶：自动化分析技术116
3.2.1动态分析模型118
3.2.2社区发现模型128
3.2.3基于家族/社团的memTTP模型133
3.2.4定性分析的其他模型134
3.2.5基于企业实体行为的事件调查分析136
第4章威胁处理142
4.1威胁情报142
4.1.1应用级IOC情报143
4.1.2运营级TTP情报148
4.2网络威胁解决方案151
4.2.1边界防护152
4.2.2威胁审计156
4.2.3安全重保162
4.3终端威胁解决方案167
4.3.1遥测探针169
4.3.2云主防170
4.3.3病毒查杀173
4.3.4系统加固175
4.3.5入侵检测176
4.3.6安全管理177
4.3.7端点检测与响应系统180
4.4企业安全解决方案181
4.4.1中小企业安全解决方案182
4.4.2大型企业安全解决方案183
4.4.3云原生安全解决方案185
第5章安全运营体系188
5.1产品视角的安全运营体系188
5.1.1安全能力中台188
5.1.2应急指挥中心192
5.1.3安全运营中心197
5.1.4企业安全运维203
5.2企业视角的安全运营体系206
5.2.1资产攻击面管理体系207
5.2.2纵深防御体系208
5.3XDR209
5.3.1MITREATT&CK评测209
5.3.2什么是XDR211
5.3.3XDR安全运营体系212