book

Réponse aux incidents basée sur l'intelligence, 2e édition

Name: Réponse aux incidents basée sur l'intelligence, 2e édition
ISBN: 9798341619463

by Rebekah Brown, Scott J. Roberts

November 2024

Intermediate to advanced

346 pages

12h 17m

French

O'Reilly Media, Inc.

Read now

Unlock full access

Avant-propos de la deuxième édition
Avant-propos de la première édition
Préface
Pourquoi nous avons écrit ce livreÀ qui s'adresse ce livreComment ce livre est organiséConventions utilisées dans ce livreApprentissage en ligne O'ReillyComment nous contacterRemerciements
I. Les principes fondamentaux
1. Introduction
Le renseignement comme élément de la réponse aux incidentsHistoire du renseignement sur les cybermenacesRenseignements sur les cybermenaces modernesLa voie à suivreLa réponse aux incidents en tant que partie de l'intelligenceQu'est-ce qu'une réponse aux incidents basée sur le renseignement ?Pourquoi une réponse aux incidents basée sur le renseignement ?Opération SMNSolarWindsConclusion
2. Les bases de l'intelligence
Renseignements et rechercheLes données par rapport à l'intelligenceSources et méthodesModèlesUtiliser des modèles de collaborationModèles de processusUtiliser le cycle du renseignementQualités d'une bonne intelligenceMéthode de collecteDate de la collecteContexteAborder les préjugés dans l'analyseNiveaux d'intelligenceRenseignement tactiqueIntelligence opérationnelleIntelligence stratégiqueNiveaux de confianceConclusion
3. Les bases de la réponse aux incidents
Cycle incident-réponsePréparationIdentificationConfinementEradicationRécupérationLeçons apprisesLa chaîne de la mortCiblageReconnaissanceL'armementLivraisonExploitationInstallationCommande et contrôleActions sur l'objectifExemple de chaîne d'exécutionLe modèle du diamantModèle de baseExtension du modèleATT&CK et D3FENDATT&CKD3FENDDéfense activeRefuserPerturberDégradationTromperDétruireF3EADTrouveFixeFinirExploiterAnalyserDiffuserUtilisation de F3EADChoisir le bon modèleScénario : Road RunnerConclusion
II. Application pratique
4. Trouve
Ciblage centré sur l'acteurCommencer par les informations connuesInformations utiles pendant la phase de rechercheUtiliser la chaîne de mise à mortObjectifsCiblage centré sur la victimeUtiliser le ciblage centré sur la victimeCiblage centré sur les actifsUtiliser le ciblage centré sur les actifsCiblage centré sur les capacitésUtiliser le ciblage centré sur les capacitésCiblage centré sur les médiasCiblage basé sur la notification d'un tiersPriorité au ciblageBesoins immédiatsIncidents passésCriticitéOrganiser les activités de ciblageDes pistes solidesLes pistes doucesRegrouper les pistes apparentéesStockage du plomb et documentationLe processus de demande d'informationConclusion
5. Fixe
Détection d'intrusionNetwork+ alerteAlerte du systèmeRéparation du Road RunnerEnquête sur les intrusionsNetwork+ analyseRéponse en directAnalyse de la mémoireAnalyse du disqueDétection et réponse de l'entrepriseAnalyse des logiciels malveillantsCadrageChasseÉlaborer des hypothèsesVérifier les hypothèsesConclusion

6. Finir
Finir n'est pas reculerLes étapes de la finitionAtténuerRemédierRearchitecteAgirRefuserPerturberDégradationTromperDétruireOrganiser les données sur les incidentsOutils de suivi des actionsDes outils adaptésÉvaluer les dégâtsCycle de vie de la surveillanceCréationTestDéploiementRaffinementLa retraiteConclusion
7. Exploiter
Boucles OODA tactiques et stratégiquesCe qu'il faut exploiterCollecte d'informationsObjectifs de la collecte d'informationsExploitation minière Incidents antérieursCollecte d'informations externes (ou analyse documentaire)Extraction et stockage des données sur les menacesNormes de stockage des données sur les menacesNormes et formats de données pour les indicateursNormes et formats de données pour l'information stratégiqueProcédé d'extractionGestion de l'informationPlateformes de renseignement sur les menacesConclusion
8. Analyser
Les bases de l'analyseRéflexion sur le double processusRaisonnement déductif, inductif et abductifProcessus et méthodes analytiquesTechniques d'analyse structurée (SAT)Analyse centrée sur la cibleEffectuer l'analyseCe qu'il faut analyserEnrichir tes donnéesTirer parti du partage de l'informationÉlaborer ton hypothèseÉvaluer les hypothèses clésLes choses qui vont te foutre en l'air (alias les biais analytiques)Tenir compte des préjugésJugement et conclusionsConclusion
9. Diffuser
Objectifs des clients de l'intelligenceAudienceLeadership exécutif ClientClients techniques internesClients techniques externesDévelopper des personas de clientsLes auteursPossibilité d'actionLe processus d'écriturePlanifierProjetÉditerFormats des produits de renseignementProduits de forme courteProduits longsLe processus de demande d'informationProduits de consommation automatisésÉtablir un rythmeDistributionRétroactionProduits réguliersConclusion
III. La voie à suivre
10. Renseignement stratégique
Qu'est-ce que l'intelligence stratégique ?Le rôle de l'intelligence stratégique dans la réponse aux incidents basée sur le renseignementL'intelligence au-delà de la réponse aux incidentsL'équipe rougeGestion de la vulnérabilitéArchitecture et ingénierieProtection de la vie privée, sécurité et sécurité physiqueConstruire un cadre avec l'intelligence stratégiqueModèles d'intelligence stratégiqueLe cycle du renseignement stratégiqueDéfinir les exigences stratégiquesCollectionAnalyseDiffusionVers l'intelligence anticipéeConclusion
11. Mise en place d'un programme de renseignement
Es-tu prêt ?Planifier le programmeDéfinir les parties prenantesDéfinir les objectifsDéfinir les critères de réussiteIdentifier les exigences et les contraintesRéfléchis de façon stratégiqueDéfinir les mesuresPersonnages des parties prenantesCas d'utilisation tactiqueSoutien SOCGestion des indicateursCas d'utilisation opérationnelleSuivi de campagneCas d'utilisation stratégiqueSoutien à l'architectureÉvaluation des risques/Sensibilisation stratégique à la situationDe la stratégie à la tactique ou de la tactique à la stratégie ?Besoins en informations critiquesL'équipe de renseignementsConstituer une équipe diversifiéeDéveloppement de l'équipe et des processusDémontrer la valeur du programme de renseignementConclusion
Index
À propos des auteurs

Content preview from Réponse aux incidents basée sur l'intelligence, 2e édition

Chapitre 6. Finir

Cet ouvrage a été traduit à l'aide de l'IA. Tes réactions et tes commentaires sont les bienvenus : translation-feedback@oreilly.com

L'important n'est pas tant de savoir qui commence le jeu que de savoir qui le termine.

John Wooden

Une fois que tu as identifié les menaces auxquelles tu es confronté et que tu as étudié la façon dont ces menaces ont accédé à ton réseau et s'y sont déplacées, il est temps de les éliminer. Cette phase est connue sous le nom de Finish et implique non seulement d'éradiquer les points d'appui que les acteurs malveillants ont mis en place dans ton réseau, mais aussi de travailler à la remédiation de ce qui leur a permis d'obtenir l'accès en premier lieu.

Finir implique plus que l'élimination des logiciels malveillants d'un système, c'est pourquoi nous passons autant de temps dans les étapes Trouver et Réparer. Pour terminer correctement l'activité d'un attaquant, il est essentiel de comprendre comment cet acteur de la menace opère et de supprimer non seulement les logiciels malveillants ou les artefacts laissés par une attaque, mais aussi les canaux de communication, les points d'appui, les accès redondants et tous les autres aspects d'une attaque que nous avons découverts au cours de la phase de réparation. Terminer correctement un adversaire nécessite une compréhension profonde de l'attaquant, de ses motivations et de ses actions, ce qui te permettra d'agir en toute confiance lorsque tu sécuriseras les systèmes et reprendras le contrôle ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Publisher Resources

ISBN: 9798341619463

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business

Soft Skills

Réponse aux incidents basée sur l'intelligence, 2e édition

by Rebekah Brown, Scott J. Roberts

Chapitre 6. Finir

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.