情报驱动应急响应

图书标准信息

• 作者 [美]斯科特·罗伯茨 (Scott J.Roberts) 利百加·布朗（Rebekah Brown）
• 出版社 机械工业出版社
• 出版时间 2018-09
• 版次 1
• ISBN 9787111608004
• 定价 79.00元
• 装帧 其他
• 开本 16开
• 纸张 胶版纸
• 页数 220页
• 字数 257千字

【内容简介】

本书恰恰就是这样一本让人相见恨晚的实用指南。作者基于情报周期和事件响应周期提出的“F3EAD”流程，将情报团队和事件响应团队的工作有机地贯穿起来，并结合具体案例，深入浅出地阐述各阶段工作要点、注意事项。值得一提的是，作者在第8章专门讨论了分析过程中容易出现的各种偏见和消除偏见的办法，在第9章专门讨论了情报产品的目标、受众及篇幅等问题，甚至提供了大量情报产品模板。

  本书不仅适合企业安全运营中心的事件响应人员阅读，而且也是网络安全厂商的专业分析团队的必读书目。但由于译者水平有限，译文中难免存在纰漏，恳请读者批评、指正。

【作者简介】

李柏松，安天实验室靠前副工程师，现任安天安全研究与应急处理中心主任。他曾在逆向工程、虚拟机技术方面进行大量探索研究，是安天主线产品avldk反病毒引擎的核心技术实现者之一，先后主持或参与多项相关科研项目，申请了多项技术。
李燕宏，网心科技安全监，oc安全专家。

【目录】

序言1

前言4

第一部分 基础知识

第1章 概述11

1.1 情报作为事件响应的一部分11

1.1.1 网络威胁情报的历史11

1.1.2 现代网络威胁情报12

1.1.3 未来之路13

1.2 事件响应作为情报的一部分13

1.3 什么是情报驱动的事件响应14

1.4 为什么是情报驱动的事件响应14

1.4.1 SMN行动14

1.4.2 极光行动15

1.5 本章小结16

第2章 情报原则17

2.1 数据与情报17

2.2 来源与方法18

2.3 流程模型21

2.3.1 OODA循环21

2.3.2 情报周期23

2.3.3 情报周期的应用案例27

2.4 有质量的情报28

2.5 情报级别29

2.5.1 战术情报29

2.5.2 作业情报29

2.5.3 战略情报30

2.6 置信级别30

2.7 本章小结31

第3章 事件响应原则32

3.1 事件响应周期32

3.1.1 预备33

3.1.2 识别34

3.1.3 遏制35

3.1.4 消除35

3.1.5 恢复36

3.1.6 反思37

3.2 杀伤链38

3.2.1 目标定位40

3.2.2 侦查跟踪40

3.2.3 武器构造41

3.2.4 载荷投递45

3.2.5 漏洞利用46

3.2.6 后门安装46

3.2.7 命令与控制47

3.2.8 目标行动47

3.2.9 杀伤链举例49

3.3 钻石模型50

3.3.1 基本模型50

3.3.2 模型扩展51

3.4 主动防御51

3.4.1 阻断52

3.4.2 干扰52

3.4.3 降级52

3.4.4 欺骗53

3.4.5 破坏53

3.5 F3EAD53

3.5.1 查找54

3.5.2 定位54

3.5.3 消除55

3.5.4 利用55

3.5.5 分析55

3.5.6 传播56

3.5.7 F3EAD的应用56

3.6 选择正确的模型57

3.7 场景案例：玻璃巫师57

3.8 本章小结58

第二部分 实战篇

第4章 查找61

4.1 围绕攻击者查找目标61

4.1.1 从已知信息着手63

4.1.2 查找有效信息63

4.2 围绕资产查找目标69

4.3 围绕新闻查找目标70

4.4 根据第三方通知查找目标71

4.5 设定优先级72

4.5.1 紧迫性72

4.5.2 既往事件72

4.5.3 严重性73

4.6 定向活动的组织73

4.6.1 精确线索73

4.6.2 模糊线索73

4.6.3 相关线索分组74

4.6.4 线索存储74

4.7 信息请求过程75

4.8 本章小结75

第5章 定位77

5.1 入侵检测77

5.1.1 网络告警78

5.1.2 系统告警82

5.1.3 定位“玻璃巫师”84

5.2 入侵调查86

5.2.1 网络分析86

5.2.2 实时响应92

5.2.3 内存分析93

5.2.4 磁盘分析94

5.2.5 恶意软件分析95

5.3 确定范围97

5.4 追踪98

5.4.1 线索开发98

5.4.2 线索验证99

5.5 本章小结99

第6章 消除100

6.1 消除并非反击100

6.2 消除的各阶段101

6.2.1 缓解101

6.2.2 修复104

6.2.3 重构106

6.3 采取行动107

6.3.1 阻止107

6.3.2 干扰108

6.3.3 降级108

6.3.4 欺骗108

6.3.5 销毁109

6.4 事件数据的组织109

6.4.1 行动跟踪工具110

6.4.2 专用工具112

6.5 评估损失113

6.6 监控生命周期113

6.7 本章小结115

第7章 利用116

7.1 什么可以利用117

7.2 信息收集117

7.3 威胁信息存储118

7.3.1 信标的数据标准与格式118

7.3.2 战略信息的数据标准与格式121

7.3.3 维护信息123

7.3.4 威胁情报平台124

7.4 本章小结126

第8章 分析127

8.1 分析的基本原理127

8.2 可以分析什么129

8.3 进行分析130

8.3.1 拓线数据131

8.3.2 提出假设134

8.3.3 评估关键假设135

8.3.4 判断和结论138

8.4 分析过程与方法138

8.4.1 结构化分析138

8.4.2 以目标为中心的分析140

8.4.3 竞争性假设分析法141

8.4.4 图形分析143

8.4.5 反向分析方法144

8.5 本章小结145

第9章 传播146

9.1 情报客户的目标147

9.2 受众147

9.2.1 管理人员/领导类客户147

9.2.2 内部技术客户150

9.2.3 外部技术客户151

9.2.4 设定客户角色152

9.3 作者154

9.4 可行动性156

9.5 写作步骤157

9.5.1 规划158

9.5.2 草稿158

9.5.3 编辑159

9.6 情报产品版式161

9.6.1 简易格式产品161

9.6.2 完整格式产品165

9.6.3 情报需求流程173

9.6.4 自动使用型产品176

9.7 节奏安排180

9.7.1 分发180

9.7.2 反馈181

9.7.3 定期发布产品181

9.8 本章小结182

第三部分 未来之路

第10章 战略情报185

10.1 什么是战略情报186

10.2 战略情报周期189

10.2.1 战略需求的设定189

10.2.2 收集190

10.2.3 分析192

10.2.4 传播195

10.3 本章小结196

第11章 建立情报计划197

11.1 你准备好了吗197

11.2 规划情报计划199

11.2.1 定义利益相关者199

11.2.2 定义目标200

11.2.3 定义成功标准201

11.2.4 确定需求和限制201

11.2.5 定义度量203

11.3 利益相关者档案203

11.4 战术用例204

11.4.1 SOC支持204

11.4.2 指标管理205

11.5 运营用例206

11.6 战略用例207

11.6.1 架构支持207

11.6.2 风险评估/战略态势感知208

11.7 从战略到战术还是从战术到战略208

11.8 雇用一个情报团队209

11.9 展示情报计划的价值209

11.10 本章小结210

附录 威胁情报内容211