book

Réponse aux incidents basée sur l'intelligence, 2e édition

Name: Réponse aux incidents basée sur l'intelligence, 2e édition
ISBN: 9798341619463

by Rebekah Brown, Scott J. Roberts

November 2024

Intermediate to advanced

346 pages

12h 17m

French

O'Reilly Media, Inc.

Read now

Unlock full access

Avant-propos de la deuxième édition
Avant-propos de la première édition
Préface
Pourquoi nous avons écrit ce livreÀ qui s'adresse ce livreComment ce livre est organiséConventions utilisées dans ce livreApprentissage en ligne O'ReillyComment nous contacterRemerciements
I. Les principes fondamentaux
1. Introduction
Le renseignement comme élément de la réponse aux incidentsHistoire du renseignement sur les cybermenacesRenseignements sur les cybermenaces modernesLa voie à suivreLa réponse aux incidents en tant que partie de l'intelligenceQu'est-ce qu'une réponse aux incidents basée sur le renseignement ?Pourquoi une réponse aux incidents basée sur le renseignement ?Opération SMNSolarWindsConclusion
2. Les bases de l'intelligence
Renseignements et rechercheLes données par rapport à l'intelligenceSources et méthodesModèlesUtiliser des modèles de collaborationModèles de processusUtiliser le cycle du renseignementQualités d'une bonne intelligenceMéthode de collecteDate de la collecteContexteAborder les préjugés dans l'analyseNiveaux d'intelligenceRenseignement tactiqueIntelligence opérationnelleIntelligence stratégiqueNiveaux de confianceConclusion
3. Les bases de la réponse aux incidents
Cycle incident-réponsePréparationIdentificationConfinementEradicationRécupérationLeçons apprisesLa chaîne de la mortCiblageReconnaissanceL'armementLivraisonExploitationInstallationCommande et contrôleActions sur l'objectifExemple de chaîne d'exécutionLe modèle du diamantModèle de baseExtension du modèleATT&CK et D3FENDATT&CKD3FENDDéfense activeRefuserPerturberDégradationTromperDétruireF3EADTrouveFixeFinirExploiterAnalyserDiffuserUtilisation de F3EADChoisir le bon modèleScénario : Road RunnerConclusion
II. Application pratique
4. Trouve
Ciblage centré sur l'acteurCommencer par les informations connuesInformations utiles pendant la phase de rechercheUtiliser la chaîne de mise à mortObjectifsCiblage centré sur la victimeUtiliser le ciblage centré sur la victimeCiblage centré sur les actifsUtiliser le ciblage centré sur les actifsCiblage centré sur les capacitésUtiliser le ciblage centré sur les capacitésCiblage centré sur les médiasCiblage basé sur la notification d'un tiersPriorité au ciblageBesoins immédiatsIncidents passésCriticitéOrganiser les activités de ciblageDes pistes solidesLes pistes doucesRegrouper les pistes apparentéesStockage du plomb et documentationLe processus de demande d'informationConclusion
5. Fixe
Détection d'intrusionNetwork+ alerteAlerte du systèmeRéparation du Road RunnerEnquête sur les intrusionsNetwork+ analyseRéponse en directAnalyse de la mémoireAnalyse du disqueDétection et réponse de l'entrepriseAnalyse des logiciels malveillantsCadrageChasseÉlaborer des hypothèsesVérifier les hypothèsesConclusion

6. Finir
Finir n'est pas reculerLes étapes de la finitionAtténuerRemédierRearchitecteAgirRefuserPerturberDégradationTromperDétruireOrganiser les données sur les incidentsOutils de suivi des actionsDes outils adaptésÉvaluer les dégâtsCycle de vie de la surveillanceCréationTestDéploiementRaffinementLa retraiteConclusion
7. Exploiter
Boucles OODA tactiques et stratégiquesCe qu'il faut exploiterCollecte d'informationsObjectifs de la collecte d'informationsExploitation minière Incidents antérieursCollecte d'informations externes (ou analyse documentaire)Extraction et stockage des données sur les menacesNormes de stockage des données sur les menacesNormes et formats de données pour les indicateursNormes et formats de données pour l'information stratégiqueProcédé d'extractionGestion de l'informationPlateformes de renseignement sur les menacesConclusion
8. Analyser
Les bases de l'analyseRéflexion sur le double processusRaisonnement déductif, inductif et abductifProcessus et méthodes analytiquesTechniques d'analyse structurée (SAT)Analyse centrée sur la cibleEffectuer l'analyseCe qu'il faut analyserEnrichir tes donnéesTirer parti du partage de l'informationÉlaborer ton hypothèseÉvaluer les hypothèses clésLes choses qui vont te foutre en l'air (alias les biais analytiques)Tenir compte des préjugésJugement et conclusionsConclusion
9. Diffuser
Objectifs des clients de l'intelligenceAudienceLeadership exécutif ClientClients techniques internesClients techniques externesDévelopper des personas de clientsLes auteursPossibilité d'actionLe processus d'écriturePlanifierProjetÉditerFormats des produits de renseignementProduits de forme courteProduits longsLe processus de demande d'informationProduits de consommation automatisésÉtablir un rythmeDistributionRétroactionProduits réguliersConclusion
III. La voie à suivre
10. Renseignement stratégique
Qu'est-ce que l'intelligence stratégique ?Le rôle de l'intelligence stratégique dans la réponse aux incidents basée sur le renseignementL'intelligence au-delà de la réponse aux incidentsL'équipe rougeGestion de la vulnérabilitéArchitecture et ingénierieProtection de la vie privée, sécurité et sécurité physiqueConstruire un cadre avec l'intelligence stratégiqueModèles d'intelligence stratégiqueLe cycle du renseignement stratégiqueDéfinir les exigences stratégiquesCollectionAnalyseDiffusionVers l'intelligence anticipéeConclusion
11. Mise en place d'un programme de renseignement
Es-tu prêt ?Planifier le programmeDéfinir les parties prenantesDéfinir les objectifsDéfinir les critères de réussiteIdentifier les exigences et les contraintesRéfléchis de façon stratégiqueDéfinir les mesuresPersonnages des parties prenantesCas d'utilisation tactiqueSoutien SOCGestion des indicateursCas d'utilisation opérationnelleSuivi de campagneCas d'utilisation stratégiqueSoutien à l'architectureÉvaluation des risques/Sensibilisation stratégique à la situationDe la stratégie à la tactique ou de la tactique à la stratégie ?Besoins en informations critiquesL'équipe de renseignementsConstituer une équipe diversifiéeDéveloppement de l'équipe et des processusDémontrer la valeur du programme de renseignementConclusion
Index
À propos des auteurs

Content preview from Réponse aux incidents basée sur l'intelligence, 2e édition

Chapitre 4. Trouver

Cet ouvrage a été traduit à l'aide de l'IA. Tes réactions et tes commentaires sont les bienvenus : translation-feedback@oreilly.com

Soyez très, très silencieux ; nous chassons les lièvres.

Elmer J. Fudd

La première moitié du cycle F3EAD contient les principaux éléments opérationnels : trouver, réparer et terminer. Dans ce contexte, lesopérations signifient une action planifiée et coordonnée en réponse à une situation qui se développe. Pour nous, il s'agit d'opérations de réponse à un incident pour une activité non autorisée sur le réseau. Au cours de ces trois premières phases, les adversaires sont ciblés, identifiés et éradiqués. Nous utilisons le renseignement pour informer ces actions opérationnelles, mais ce n'est pas la seule utilisation du renseignement. Plus tard dans le processus, les données des phases opérationnelles alimenteront la seconde moitié de F3EAD, qui contient les phases axées sur le renseignement : l'exploitation, l'analyse et la diffusion.

Ce chapitre se concentre sur la phase Find, qui est le point de départ des activités de renseignement et des activités opérationnelles. Dans le cycle traditionnel du F3EAD, la phase de recherche commence lorsque l'équipe opérationnelle identifie les entités de grande valeur à cibler. Dans le cadre d'une réponse à un incident axée sur le renseignement, la phase de recherche identifie les adversaires pertinents pour la réponse à l'incident.

Dans le cas d'un incident en cours, il se peut que tu aies identifié ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Publisher Resources

ISBN: 9798341619463

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business

Soft Skills

Réponse aux incidents basée sur l'intelligence, 2e édition

by Rebekah Brown, Scott J. Roberts

Chapitre 4. Trouver

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.