类似推荐
编辑推荐
在网络安全事件发生后,借助精心制定的事件响应计划,你的团队可以找出攻击者,并从攻击者的行动中吸取教训。不过,只有从网络威胁情报的观念出发开展事件响应,你才能真正理解这类信息的价值所在。本书将介绍情报分析的基础知识,以及将各种技术纳入事件响应流程的最佳方式。
内容简介
本书恰恰就是这样一本让人相见恨晚的实用指南。作者基于情报周期和事件响应周期提出的“F3EAD”流程,将情报团队和事件响应团队的工作有机地贯穿起来,并结合具体案例,深入浅出地阐述各阶段工作要点、注意事项。值得一提的是,作者在第8章专门讨论了分析过程中容易出现的各种偏见和消除偏见的办法,在第9章专门讨论了情报产品的目标、受众及篇幅等问题,甚至提供了大量情报产品模板。
本书不仅适合企业安全运营中心的事件响应人员阅读,而且也是网络安全厂商的专业分析团队的必读书目。但由于译者水平有限,译文中难免存在纰漏,恳请读者批评、指正。
作者简介
作者斯科特·罗伯茨是GitHub公司的“捕快”,曾就职于大型安全厂商、政府安全机构以及财务服务安全公司等。他曾发布并贡献多个威胁情报及恶意软件分析工具。
章节目录
版权信息
O’Reilly Media,Inc.介绍
译者序
译者简介
序言
前言
第一部分 基础知识
第1章 概述
1.1 情报作为事件响应的一部分
1.2 事件响应作为情报的一部分
1.3 什么是情报驱动的事件响应
1.4 为什么是情报驱动的事件响应
1.5 本章小结
第2章 情报原则
2.1 数据与情报
2.2 来源与方法
2.3 流程模型
2.4 有质量的情报
2.5 情报级别
2.6 置信级别
2.7 本章小结
第3章 事件响应原则
3.1 事件响应周期
3.2 杀伤链
3.3 钻石模型
3.4 主动防御
3.5 F3EAD
3.6 选择正确的模型
3.7 场景案例:玻璃巫师
3.8 本章小结
第二部分 实战篇
第4章 查找
4.1 围绕攻击者查找目标
4.2 围绕资产查找目标
4.3 围绕新闻查找目标
4.4 根据第三方通知查找目标
4.5 设定优先级
4.6 定向活动的组织
4.7 信息请求过程
4.8 本章小结
第5章 定位
5.1 入侵检测
5.2 入侵调查
5.3 确定范围
5.4 追踪
5.5 本章小结
第6章 消除
6.1 消除并非反击
6.2 消除的各阶段
6.3 采取行动
6.4 事件数据的组织
6.5 评估损失
6.6 监控生命周期
6.7 本章小结
第7章 利用
7.1 什么可以利用
7.2 信息收集
7.3 威胁信息存储
7.4 本章小结
第8章 分析
8.1 分析的基本原理
8.2 可以分析什么
8.3 进行分析
8.4 分析过程与方法
8.5 本章小结
第9章 传播
9.1 情报客户的目标
9.2 受众
9.3 作者
9.4 可行动性
9.5 写作步骤
9.6 情报产品版式
9.7 节奏安排
9.8 本章小结
第三部分 未来之路
第10章 战略情报
10.1 什么是战略情报
10.2 战略情报周期
10.3 本章小结
第11章 建立情报计划
11.1 你准备好了吗
11.2 规划情报计划
11.3 利益相关者档案
11.4 战术用例
11.5 运营用例
11.6 战略用例
11.7 从战略到战术还是从战术到战略
11.8 雇用一个情报团队
11.9 展示情报计划的价值
11.10 本章小结
附录 威胁情报内容
情报驱动应急响应是2018年由机械工业出版社华章分社出版,作者[美] 斯科特·罗伯茨。
得书感谢您对《情报驱动应急响应》关注和支持,如本书内容有不良信息或侵权等情形的,请联系本网站。
