情报驱动应急响应
李柏松, 李燕宏 译
出版时间:2018年09月
页数:220
在网络安全事件发生后,借助精心制定的事件响应计划,你的团队可以找出攻击者,并从攻击者的行动中吸取教训。不过,只有从网络威胁情报的观念出发开展事件响应,你才能真正理解这类信息的价值所在。本书将介绍情报分析的基础知识,以及将各种技术纳入事件响应流程的最佳方式。
威胁情报与事件响应两者相辅相成:威胁情报是事件响应的依据和助力,而事件响应又会反过来产生有价值的威胁情报。本书有助于事件响应管理人员、恶意代码分析人员、逆向工程师、数字取证专家以及情报分析人员理解两者之间的关系,付诸实践并从中获益。
本书分为三个部分,包括:
● 基础知识:认识网络威胁情报、情报流程、事件响应流程,以及流程之间如何协同工作。
● 实际应用:介绍情报驱动事件响应的F3EAD流程(查找、定位、消除、利用、分析和传播),以及实施细节。
● 未来之路:从宏观战略层面探讨情报驱动事件响应的优越之处,以及如何组建情报团队并更好地实施计划。
威胁情报与事件响应两者相辅相成:威胁情报是事件响应的依据和助力,而事件响应又会反过来产生有价值的威胁情报。本书有助于事件响应管理人员、恶意代码分析人员、逆向工程师、数字取证专家以及情报分析人员理解两者之间的关系,付诸实践并从中获益。
本书分为三个部分,包括:
● 基础知识:认识网络威胁情报、情报流程、事件响应流程,以及流程之间如何协同工作。
● 实际应用:介绍情报驱动事件响应的F3EAD流程(查找、定位、消除、利用、分析和传播),以及实施细节。
● 未来之路:从宏观战略层面探讨情报驱动事件响应的优越之处,以及如何组建情报团队并更好地实施计划。
- 序言
- 前言
- 第一部分 基础知识
- 第1章 概述
- 1.1 情报作为事件响应的一部分
- 1.1.1 网络威胁情报的历史
- 1.1.2 现代网络威胁情报
- 1.1.3 未来之路
- 1.2 事件响应作为情报的一部分
- 1.3 什么是情报驱动的事件响应
- 1.4 为什么是情报驱动的事件响应
- 1.4.1 SMN行动
- 1.4.2 极光行动
- 1.5 本章小结
- 第2章 情报原则
- 2.1 数据与情报
- 2.2 来源与方法
- 2.3 流程模型
- 2.3.1 OODA循环
- 2.3.2 情报周期
- 2.3.3 情报周期的应用案例
- 2.4 有质量的情报
- 2.5 情报级别
- 2.5.1 战术情报
- 2.5.2 作业情报
- 2.5.3 战略情报
- 2.6 置信级别
- 2.7 本章小结
- 第3章 事件响应原则
- 3.1 事件响应周期
- 3.1.1 预备
- 3.1.2 识别
- 3.1.3 遏制
- 3.1.4 消除
- 3.1.5 恢复
- 3.1.6 反思
- 3.2 杀伤链
- 3.2.1 目标定位
- 3.2.2 侦查跟踪
- 3.2.3 武器构造
- 3.2.4 载荷投递
- 3.2.5 漏洞利用
- 3.2.6 后门安装
- 3.2.7 命令与控制
- 3.2.8 目标行动
- 3.2.9 杀伤链举例
- 3.3 钻石模型
- 3.3.1 基本模型
- 3.3.2 模型扩展
- 3.4 主动防御
- 3.4.1 阻断
- 3.4.2 干扰
- 3.4.3 降级
- 3.4.4 欺骗
- 3.4.5 破坏
- 3.5 F3EAD
- 3.5.1 查找
- 3.5.2 定位
- 3.5.3 消除
- 3.5.4 利用
- 3.5.5 分析
- 3.5.6 传播
- 3.5.7 F3EAD的应用
- 3.6 选择正确的模型
- 3.7 场景案例:玻璃巫师
- 3.8 本章小结
- 第二部分 实战篇
- 第4章 查找
- 4.1 围绕攻击者查找目标
- 4.1.1 从已知信息着手
- 4.1.2 查找有效信息
- 4.2 围绕资产查找目标
- 4.3 围绕新闻查找目标
- 4.4 根据第三方通知查找目标
- 4.5 设定优先级
- 4.5.1 紧迫性
- 4.5.2 既往事件
- 4.5.3 严重性
- 4.6 定向活动的组织
- 4.6.1 精确线索
- 4.6.2 模糊线索
- 4.6.3 相关线索分组
- 4.6.4 线索存储
- 4.7 信息请求过程
- 4.8 本章小结
- 第5章 定位
- 5.1 入侵检测
- 5.1.1 网络告警
- 5.1.2 系统告警
- 5.1.3 定位“玻璃巫师”
- 5.2 入侵调查
- 5.2.1 网络分析
- 5.2.2 实时响应
- 5.2.3 内存分析
- 5.2.4 磁盘分析
- 5.2.5 恶意软件分析
- 5.3 确定范围
- 5.4 追踪
- 5.4.1 线索开发
- 5.4.2 线索验证
- 5.5 本章小结
- 第6章 消除
- 6.1 消除并非反击
- 6.2 消除的各阶段
- 6.2.1 缓解
- 6.2.2 修复
- 6.2.3 重构
- 6.3 采取行动
- 6.3.1 阻止
- 6.3.2 干扰
- 6.3.3 降级
- 6.3.4 欺骗
- 6.3.5 销毁
- 6.4 事件数据的组织
- 6.4.1 行动跟踪工具
- 6.4.2 专用工具
- 6.5 评估损失
- 6.6 监控生命周期
- 6.7 本章小结
- 第7章 利用
- 7.1 什么可以利用
- 7.2 信息收集
- 7.3 威胁信息存储
- 7.3.1 信标的数据标准与格式
- 7.3.2 战略信息的数据标准与格式
- 7.3.3 维护信息
- 7.3.4 威胁情报平台
- 7.4 本章小结
- 第8章 分析
- 8.1 分析的基本原理
- 8.2 可以分析什么
- 8.3 进行分析
- 8.3.1 拓线数据
- 8.3.2 提出假设
- 8.3.3 评估关键假设
- 8.3.4 判断和结论
- 8.4 分析过程与方法
- 8.4.1 结构化分析
- 8.4.2 以目标为中心的分析
- 8.4.3 竞争性假设分析法
- 8.4.4 图形分析
- 8.4.5 反向分析方法
- 8.5 本章小结
- 第9章 传播
- 9.1 情报客户的目标
- 9.2 受众
- 9.2.1 管理人员/领导类客户
- 9.2.2 内部技术客户
- 9.2.3 外部技术客户
- 9.2.4 设定客户角色
- 9.3 作者
- 9.4 可行动性
- 9.5 写作步骤
- 9.5.1 规划
- 9.5.2 草稿
- 9.5.3 编辑
- 9.6 情报产品版式
- 9.6.1 简易格式产品
- 9.6.2 完整格式产品
- 9.6.3 情报需求流程
- 9.6.4 自动使用型产品
- 9.7 节奏安排
- 9.7.1 分发
- 9.7.2 反馈
- 9.7.3 定期发布产品
- 9.8 本章小结
- 第三部分 未来之路
- 第10章 战略情报
- 10.1 什么是战略情报
- 10.2 战略情报周期
- 10.2.1 战略需求的设定
- 10.2.2 收集
- 10.2.3 分析
- 10.2.4 传播
- 10.3 本章小结
- 第11章 建立情报计划
- 11.1 你准备好了吗
- 11.2 规划情报计划
- 11.2.1 定义利益相关者
- 11.2.2 定义目标
- 11.2.3 定义成功标准
- 11.2.4 确定需求和限制
- 11.2.5 定义度量
- 11.3 利益相关者档案
- 11.4 战术用例
- 11.4.1 SOC支持
- 11.4.2 指标管理
- 11.5 运营用例
- 11.6 战略用例
- 11.6.1 架构支持
- 11.6.2 风险评估/战略态势感知
- 11.7 从战略到战术还是从战术到战略
- 11.8 雇用一个情报团队
- 11.9 展示情报计划的价值
- 11.10 本章小结
- 附录 威胁情报内容
书名:情报驱动应急响应
译者:李柏松, 李燕宏 译
国内出版社:机械工业出版社
出版时间:2018年09月
页数:220
书号:978-7-111-60800-4
原版书书名:Intelligence-Driven Incident Response
原版书出版商:O'Reilly Media
购买选项
|
© 2024,奥莱利技术咨询(北京)有限公司。版权所有。 传真: +86-10-88097463 京ICP备05003502号 |
|