情报驱动应急响应

情报驱动应急响应

by Scott J. Roberts, Rebekah Brown
Released September 2018
Publisher(s): China Machine Press
ISBN: 9787111608004

Read it now on the O’Reilly learning platform with a 10-day free trial.

O’Reilly members get unlimited access to books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.

Start your free trial

Book description

在网络安全事件发生后,借助精心制定的事件响应计划,你的团队可以找出攻击者,并从攻击者的行动中吸取教训。不过,只有从网络威胁情报的观念出发开展事件响应,你才能真正理解这类信息的价值所在。本书将介绍情报分析的基础知识,以及将各种技术纳入事件响应流程的最佳方式。

威胁情报与事件响应两者相辅相成:威胁情报是事件响应的依据和助力,而事件响应又会反过来产生有价值的威胁情报。本书有助于事件响应管理人员、恶意代码分析人员、逆向工程师、数字取证专家以及情报分析人员理解两者之间的关系,付诸实践并从中获益。

本书分为三部分,包括:

  • 基础知识:认识网络威胁情报、情报流程、事件响应流程,以及流程之间如何协同工作。
  • 实际应用:介绍情报驱动事件响应的F3EAD流程(查找、定位、消除、利用、分析和传播),以及实施细节。
  • 未来之路:从宏观战略层面探讨情报驱动事件响应的优越之处,以及如何组建情报团队并更好地实施计划。

Table of contents

  1. 封面
  2. 扉页
  3. 版权页
  4. O’Reilly介绍
  5. 译者序
  6. 译者简介
  7. 目录 (1/2)
  8. 目录 (2/2)
  9. 序言
  10. 前言
    1. 我们为什么写这本书
    2. 目标读者
    3. 本书结构
    4. 排版约定
    5. Safari在线图书
    6. 联系我们
    7. 致谢
  11. 第一部分 基础知识
    1. 第1章 概述
      1. 1.1 情报作为事件响应的一部分
        1. 1.1.1 网络威胁情报的历史
        2. 1.1.2 现代网络威胁情报
        3. 1.1.3 未来之路
      2. 1.2 事件响应作为情报的一部分
      3. 1.3 什么是情报驱动的事件响应
      4. 1.4 为什么是情报驱动的事件响应
        1. 1.4.1 SMN行动
        2. 1.4.2 极光行动
      5. 1.5 本章小结
    2. 第2章 情报原则
      1. 2.1 数据与情报
      2. 2.2 来源与方法
      3. 2.3 流程模型 (1/2)
      4. 2.3 流程模型 (2/2)
        1. 2.3.1 OODA循环
        2. 2.3.2 情报周期
        3. 2.3.3 情报周期的应用案例
      5. 2.4 有质量的情报
      6. 2.5 情报级别
        1. 2.5.1 战术情报
        2. 2.5.2 作业情报
        3. 2.5.3 战略情报
      7. 2.6 置信级别
      8. 2.7 本章小结
    3. 第3章 事件响应原则
      1. 3.1 事件响应周期
        1. 3.1.1 预备
        2. 3.1.2 识别
        3. 3.1.3 遏制
        4. 3.1.4 消除
        5. 3.1.5 恢复
        6. 3.1.6 反思
      2. 3.2 杀伤链 (1/3)
      3. 3.2 杀伤链 (2/3)
      4. 3.2 杀伤链 (3/3)
        1. 3.2.1 目标定位
        2. 3.2.2 侦查跟踪
        3. 3.2.3 武器构造
        4. 3.2.4 载荷投递
        5. 3.2.5 漏洞利用
        6. 3.2.6 后门安装
        7. 3.2.7 命令与控制
        8. 3.2.8 目标行动
        9. 3.2.9 杀伤链举例
      5. 3.3 钻石模型
        1. 3.3.1 基本模型
        2. 3.3.2 模型扩展
      6. 3.4 主动防御
        1. 3.4.1 阻断
        2. 3.4.2 干扰
        3. 3.4.3 降级
        4. 3.4.4 欺骗
        5. 3.4.5 破坏
      7. 3.5 F3EAD
        1. 3.5.1 查找
        2. 3.5.2 定位
        3. 3.5.3 消除
        4. 3.5.4 利用
        5. 3.5.5 分析
        6. 3.5.6 传播
        7. 3.5.7 F3EAD的应用
      8. 3.6 选择正确的模型
      9. 3.7 场景案例:玻璃巫师
      10. 3.8 本章小结
  12. 第二部分 实战篇
    1. 第4章 查找
      1. 4.1 围绕攻击者查找目标
        1. 4.1.1 从已知信息着手
        2. 4.1.2 查找有效信息
      2. 4.2 围绕资产查找目标
      3. 4.3 围绕新闻查找目标
      4. 4.4 根据第三方通知查找目标
      5. 4.5 设定优先级
        1. 4.5.1 紧迫性
        2. 4.5.2 既往事件
        3. 4.5.3 严重性
      6. 4.6 定向活动的组织
        1. 4.6.1 精确线索
        2. 4.6.2 模糊线索
        3. 4.6.3 相关线索分组
        4. 4.6.4 线索存储
      7. 4.7 信息请求过程
      8. 4.8 本章小结
    2. 第5章 定位
      1. 5.1 入侵检测
        1. 5.1.1 网络告警
        2. 5.1.2 系统告警
        3. 5.1.3 定位“玻璃巫师”
      2. 5.2 入侵调查 (1/3)
      3. 5.2 入侵调查 (2/3)
      4. 5.2 入侵调查 (3/3)
        1. 5.2.1 网络分析
        2. 5.2.2 实时响应
        3. 5.2.3 内存分析
        4. 5.2.4 磁盘分析
        5. 5.2.5 恶意软件分析
      5. 5.3 确定范围
      6. 5.4 追踪
        1. 5.4.1 线索开发
        2. 5.4.2 线索验证
      7. 5.5 本章小结
    3. 第6章 消除
      1. 6.1 消除并非反击
      2. 6.2 消除的各阶段 (1/2)
      3. 6.2 消除的各阶段 (2/2)
        1. 6.2.1 缓解
        2. 6.2.2 修复
        3. 6.2.3 重构
      4. 6.3 采取行动
        1. 6.3.1 阻止
        2. 6.3.2 干扰
        3. 6.3.3 降级
        4. 6.3.4 欺骗
        5. 6.3.5 销毁
      5. 6.4 事件数据的组织
        1. 6.4.1 行动跟踪工具
        2. 6.4.2 专用工具
      6. 6.5 评估损失
      7. 6.6 监控生命周期
      8. 6.7 本章小结
    4. 第7章 利用
      1. 7.1 什么可以利用
      2. 7.2 信息收集
      3. 7.3 威胁信息存储 (1/2)
      4. 7.3 威胁信息存储 (2/2)
        1. 7.3.1 信标的数据标准与格式
        2. 7.3.2 战略信息的数据标准与格式
        3. 7.3.3 维护信息
        4. 7.3.4 威胁情报平台
      5. 7.4 本章小结
    5. 第8章 分析
      1. 8.1 分析的基本原理
      2. 8.2 可以分析什么
      3. 8.3 进行分析 (1/2)
      4. 8.3 进行分析 (2/2)
        1. 8.3.1 拓线数据
        2. 8.3.2 提出假设
        3. 8.3.3 评估关键假设
        4. 8.3.4 判断和结论
      5. 8.4 分析过程与方法 (1/2)
      6. 8.4 分析过程与方法 (2/2)
        1. 8.4.1 结构化分析
        2. 8.4.2 以目标为中心的分析
        3. 8.4.3 竞争性假设分析法
        4. 8.4.4 图形分析
        5. 8.4.5 反向分析方法
      7. 8.5 本章小结
    6. 第9章 传播
      1. 9.1 情报客户的目标
      2. 9.2 受众
        1. 9.2.1 管理人员/领导类客户
        2. 9.2.2 内部技术客户
        3. 9.2.3 外部技术客户
        4. 9.2.4 设定客户角色
      3. 9.3 作者
      4. 9.4 可行动性
      5. 9.5 写作步骤
        1. 9.5.1 规划
        2. 9.5.2 草稿
        3. 9.5.3 编辑
      6. 9.6 情报产品版式 (1/4)
      7. 9.6 情报产品版式 (2/4)
      8. 9.6 情报产品版式 (3/4)
      9. 9.6 情报产品版式 (4/4)
        1. 9.6.1 简易格式产品
        2. 9.6.2 完整格式产品
        3. 9.6.3 情报需求流程
        4. 9.6.4 自动使用型产品
      10. 9.7 节奏安排
        1. 9.7.1 分发
        2. 9.7.2 反馈
        3. 9.7.3 定期发布产品
      11. 9.8 本章小结
  13. 第三部分 未来之路
    1. 第10章 战略情报
      1. 10.1 什么是战略情报
      2. 10.2 战略情报周期 (1/2)
      3. 10.2 战略情报周期 (2/2)
        1. 10.2.1 战略需求的设定
        2. 10.2.2 收集
        3. 10.2.3 分析
        4. 10.2.4 传播
      4. 10.3 本章小结
    2. 第11章 建立情报计划
      1. 11.1 你准备好了吗
      2. 11.2 规划情报计划
        1. 11.2.1 定义利益相关者
        2. 11.2.2 定义目标
        3. 11.2.3 定义成功标准
        4. 11.2.4 确定需求和限制
        5. 11.2.5 定义度量
      3. 11.3 利益相关者档案
      4. 11.4 战术用例
        1. 11.4.1 SOC支持
        2. 11.4.2 指标管理
      5. 11.5 运营用例
      6. 11.6 战略用例
        1. 11.6.1 架构支持
        2. 11.6.2 风险评估/战略态势感知
      7. 11.7 从战略到战术还是从战术到战略
      8. 11.8 雇用一个情报团队
      9. 11.9 展示情报计划的价值
      10. 11.10 本章小结
  14. 附录 威胁情报内容
    1. 短格式内容
    2. 事件简报:“玻璃巫师”网络钓鱼邮件——恢复战役
    3. 对象包:“玻璃巫师 ”
    4. 长格式内容:Hikit Malware
    5. 情报请求:“玻璃巫师 ”
  15. 作者简介
  16. 封面简介

Product information

  • Title: 情报驱动应急响应
  • Author(s): Scott J. Roberts, Rebekah Brown
  • Release date: September 2018
  • Publisher(s): China Machine Press
  • ISBN: 9787111608004

You might also like

book

网络安全评估(第三版)

by Chris McNab

你的网络有多安全?使用与攻击者识别和利用脆弱性相同的策略,来对你的网络开展攻击,是找出答案的最好方法。通过这本实用指南,你将学习如何以结构化的方式执行基于网络的渗透测试。本书作者演示了常见的脆弱性,以及在你的环境中识别这些脆弱性的步骤。 系统的复杂性和攻击平面都在持续增长,本书提供了一个帮助你降低网络风险的过程。每章都包括一份总结攻击者技术的清单,以及你可以立即使用的有效对策。 本书可以学到如何有效测试系统组件,包括: 公共服务,如SSH、FTP、Kerberos、SNMP和LDAP。 微软公司服务,包括NetBIOS、SMB、RPC和RDP。 SMTP、POP3和IMAP电子邮件服务。 提供安全网络访问的IPsec和PPTP服务。 提供运输安全的TLS协议和功能。 网络服务器软件,包括微软公司的IIS、Apache和Nginx。 框架,包括Rails、Django、微软ASP.NET和PHP。 数据库服务器、存储协议和键值对存储。

book

程序员的38堂成长课

by Pete Goodliffe

同样是程序员,为什么别人能构筑坚固的代码堡垒,而自己却深陷代码泥潭?为什么别人能写出美得像艺术品、优雅得像诗歌的代码,而自己却与几个月前才亲手写的代码形同陌路?亲爱的读者朋友,请不要妄自菲薄。其他程序员固然很好,但你也不错。或许,你需要的仅仅是有效的方法和技巧。 本书作者以38个话题为切入点,用幽默诙谐的笔触为你提炼出卓越程序员常用的方法和技巧。每一章篇幅虽短,却发人深省,章末配有令人忍俊不禁的漫画。无论在工作中使用哪种编程语言,你都将在轻松的阅读过程中不知不觉地提升作为程序员的第六感——代码感。 让每一行代码都充满匠心的编写技巧、测试技巧和调试技巧 卓越程序员爱用的编程实践和方法,以及应有的工作态度 让编程生涯稳步提升的诀窍和高效学习的战术 把事做完和做好的方法,正确使用工具,积极寻求帮助 程序员应该如何寻觅良师益友

book

计算机科学导论:跨学科方法

by 罗伯特 塞奇威克, 凯文 韦恩

本书面向初学者,以跨学科的方法介绍计算机科学的基本知识。全书包括两个部分,第一部分围绕学习编程的三个阶段进行组织,包括基本元素、函数和面向对象编程。第二部分则介绍计算机科学的高级主题,包括算法和数据结构、计算理论和计算机体系结构。本书内容丰富、循序渐进,适合作为高等院校本科生计算机科学入门的教材。

book

Python预测分析实战

by Posts & Telecom Press, Alvaro Fuentes

基于Python语言的预测分析实战 Key Features 涵盖从问题识别到模型部署的预测分析全过程 基于Python语言实现,辅以实例,侧重于实战 用Python实现高性能预测分析方案 用Keras构建可实现精准预测的神经网络模型 Book Description 本书先介绍预测分析的重要概念和原则,然后给出一系列的代码示例和算法讲解,引导读者了解完整的预测分析流程,进而用Python工具构建高性能的预测分析解决方案。全书所涵盖的内容包括预测分析过程、理解问题和准备数据、理解数据集—探索性数据分析、基于机器学习的数值预测、基于机器学习的类别预测、调整模型和提高性能、基于Dash的模型实现等。 本书适合想要学习预测建模并对用 Python 工具实现预测分析解决方案感兴趣的数据分析师、数据科学家、数据工程师和Python开发人员阅读,也适合对预测分析感兴趣的读者参考。 What you will …