滿額折
情報驅動應急響應(簡體書)
- 系列名:O'Reilly精品圖書系列
- ISBN13:9787111608004
- 出版社:機械工業出版社
- 作者:(美)斯科特‧羅伯茨; 利百加‧布朗
- 譯者:李柏松;李燕宏
- 裝訂/頁數:平裝/220頁
- 規格:23.3cm*17.8cm (高/寬)
- 出版日:2018/09/15
相關商品
商品簡介
目次
商品簡介
本書恰恰就是這樣一本讓人相見恨晚的實用指南。作者基於情報週期和事件響應週期提出的“F3EAD”流程,將情報團隊和事件響應團隊的工作有機地貫穿起來,並結合具體案例,深入淺出地闡述各階段工作要點、注意事項。值得一提的是,作者在第8章專門討論了分析過程中容易出現的各種偏見和消除偏見的辦法,在第9章專門討論了情報產品的目標、受眾及篇幅等問題,甚至提供了大量情報產品模板。
本書不僅適合企業安全運營中心的事件響應人員閱讀,而且也是網絡安全廠商的專業分析團隊的必讀書目。但由於譯者水平有限,譯文中難免存在紕漏,懇請讀者批評、指正。
本書不僅適合企業安全運營中心的事件響應人員閱讀,而且也是網絡安全廠商的專業分析團隊的必讀書目。但由於譯者水平有限,譯文中難免存在紕漏,懇請讀者批評、指正。
目次
序言1
前言4
第一部分 基礎知識
第1章 概述11
1.1 情報作為事件響應的一部分11
1.1.1 網絡威脅情報的歷史11
1.1.2 現代網絡威脅情報12
1.1.3 未來之路13
1.2 事件響應作為情報的一部分13
1.3 什麼是情報驅動的事件響應14
1.4 為什麼是情報驅動的事件響應14
1.4.1 SMN行動14
1.4.2 極光行動15
1.5 本章小結16
第2章 情報原則17
2.1 數據與情報17
2.2 來源與方法18
2.3 流程模型21
2.3.1 OODA循環21
2.3.2 情報週期23
2.3.3 情報週期的應用案例27
2.4 有質量的情報28
2.5 情報級別29
2.5.1 戰術情報29
2.5.2 作業情報29
2.5.3 戰略情報30
2.6 置信級別30
2.7 本章小結31
第3章 事件響應原則32
3.1 事件響應週期32
3.1.1 預備33
3.1.2 識別34
3.1.3 遏制35
3.1.4 消除35
3.1.5 恢復36
3.1.6 反思37
3.2 殺傷鏈38
3.2.1 目標定位40
3.2.2 偵查跟蹤40
3.2.3 武器構造41
3.2.4 載荷投遞45
3.2.5 漏洞利用46
3.2.6 後門安裝46
3.2.7 命令與控制47
3.2.8 目標行動47
3.2.9 殺傷鏈舉例49
3.3 鑽石模型50
3.3.1 基本模型50
3.3.2 模型擴展51
3.4 主動防禦51
3.4.1 阻斷52
3.4.2 干擾52
3.4.3 降級52
3.4.4 欺騙53
3.4.5 破壞53
3.5 F3EAD53
3.5.1 查找54
3.5.2 定位54
3.5.3 消除55
3.5.4 利用55
3.5.5 分析55
3.5.6 傳播56
3.5.7 F3EAD的應用56
3.6 選擇正確的模型57
3.7 場景案例:玻璃巫師57
3.8 本章小結58
第二部分 實戰篇
第4章 查找61
4.1 圍繞攻擊者查找目標61
4.1.1 從已知信息著手63
4.1.2 查找有效信息63
4.2 圍繞資產查找目標69
4.3 圍繞新聞查找目標70
4.4 根據第三方通知查找目標71
4.5 設定優先級72
4.5.1 緊迫性72
4.5.2 既往事件72
4.5.3 嚴重性73
4.6 定向活動的組織73
4.6.1 精確線索73
4.6.2 模糊線索73
4.6.3 相關線索分組74
4.6.4 線索存儲74
4.7 信息請求過程75
4.8 本章小結75
第5章 定位77
5.1 入侵檢測77
5.1.1 網絡告警78
5.1.2 系統告警82
5.1.3 定位“玻璃巫師”84
5.2 入侵調查86
5.2.1 網絡分析86
5.2.2 實時響應92
5.2.3 內存分析93
5.2.4 磁盤分析94
5.2.5 惡意軟件分析95
5.3 確定範圍97
5.4 追蹤98
5.4.1 線索開發98
5.4.2 線索驗證99
5.5 本章小結99
第6章 消除100
6.1 消除並非反擊100
6.2 消除的各階段101
6.2.1 緩解101
6.2.2 修復104
6.2.3 重構106
6.3 採取行動107
6.3.1 阻止107
6.3.2 干擾108
6.3.3 降級108
6.3.4 欺騙108
6.3.5 銷毀109
6.4 事件數據的組織109
6.4.1 行動跟蹤工具110
6.4.2 專用工具112
6.5 評估損失113
6.6 監控生命週期113
6.7 本章小結115
第7章 利用116
7.1 什麼可以利用117
7.2 信息收集117
7.3 威脅信息存儲118
7.3.1 信標的數據標準與格式118
7.3.2 戰略信息的數據標準與格式121
7.3.3 維護信息123
7.3.4 威脅情報平臺124
7.4 本章小結126
第8章 分析127
8.1 分析的基本原理127
8.2 可以分析什麼129
8.3 進行分析130
8.3.1 拓線數據131
8.3.2 提出假設134
8.3.3 評估關鍵假設135
8.3.4 判斷和結論138
8.4 分析過程與方法138
8.4.1 結構化分析138
8.4.2 以目標為中心的分析140
8.4.3 競爭性假設分析法141
8.4.4 圖形分析143
8.4.5 反向分析方法144
8.5 本章小結145
第9章 傳播146
9.1 情報客戶的目標147
9.2 受眾147
9.2.1 管理人員/領導類客戶147
9.2.2 內部技術客戶150
9.2.3 外部技術客戶151
9.2.4 設定客戶角色152
9.3 作者154
9.4 可行動性156
9.5 寫作步驟157
9.5.1 規劃158
9.5.2 草稿158
9.5.3 編輯159
9.6 情報產品版式161
9.6.1 簡易格式產品161
9.6.2 完整格式產品165
9.6.3 情報需求流程173
9.6.4 自動使用型產品176
9.7 節奏安排180
9.7.1 分發180
9.7.2 反饋181
9.7.3 定期發佈產品181
9.8 本章小結182
第三部分 未來之路
第10章 戰略情報185
10.1 什麼是戰略情報186
10.2 戰略情報週期189
10.2.1 戰略需求的設定189
10.2.2 收集190
10.2.3 分析192
10.2.4 傳播195
10.3 本章小結196
第11章 建立情報計劃197
11.1 你準備好了嗎197
11.2 規劃情報計劃199
11.2.1 定義利益相關者199
11.2.2 定義目標200
11.2.3 定義成功標準201
11.2.4 確定需求和限制201
11.2.5 定義度量203
11.3 利益相關者檔案203
11.4 戰術用例204
11.4.1 SOC支持204
11.4.2 指標管理205
11.5 運營用例206
11.6 戰略用例207
11.6.1 架構支持207
11.6.2 風險評估/戰略態勢感知208
11.7 從戰略到戰術還是從戰術到戰略208
11.8 雇用一個情報團隊209
11.9 展示情報計劃的價值209
11.10 本章小結210
附錄 威脅情報內容211
前言4
第一部分 基礎知識
第1章 概述11
1.1 情報作為事件響應的一部分11
1.1.1 網絡威脅情報的歷史11
1.1.2 現代網絡威脅情報12
1.1.3 未來之路13
1.2 事件響應作為情報的一部分13
1.3 什麼是情報驅動的事件響應14
1.4 為什麼是情報驅動的事件響應14
1.4.1 SMN行動14
1.4.2 極光行動15
1.5 本章小結16
第2章 情報原則17
2.1 數據與情報17
2.2 來源與方法18
2.3 流程模型21
2.3.1 OODA循環21
2.3.2 情報週期23
2.3.3 情報週期的應用案例27
2.4 有質量的情報28
2.5 情報級別29
2.5.1 戰術情報29
2.5.2 作業情報29
2.5.3 戰略情報30
2.6 置信級別30
2.7 本章小結31
第3章 事件響應原則32
3.1 事件響應週期32
3.1.1 預備33
3.1.2 識別34
3.1.3 遏制35
3.1.4 消除35
3.1.5 恢復36
3.1.6 反思37
3.2 殺傷鏈38
3.2.1 目標定位40
3.2.2 偵查跟蹤40
3.2.3 武器構造41
3.2.4 載荷投遞45
3.2.5 漏洞利用46
3.2.6 後門安裝46
3.2.7 命令與控制47
3.2.8 目標行動47
3.2.9 殺傷鏈舉例49
3.3 鑽石模型50
3.3.1 基本模型50
3.3.2 模型擴展51
3.4 主動防禦51
3.4.1 阻斷52
3.4.2 干擾52
3.4.3 降級52
3.4.4 欺騙53
3.4.5 破壞53
3.5 F3EAD53
3.5.1 查找54
3.5.2 定位54
3.5.3 消除55
3.5.4 利用55
3.5.5 分析55
3.5.6 傳播56
3.5.7 F3EAD的應用56
3.6 選擇正確的模型57
3.7 場景案例:玻璃巫師57
3.8 本章小結58
第二部分 實戰篇
第4章 查找61
4.1 圍繞攻擊者查找目標61
4.1.1 從已知信息著手63
4.1.2 查找有效信息63
4.2 圍繞資產查找目標69
4.3 圍繞新聞查找目標70
4.4 根據第三方通知查找目標71
4.5 設定優先級72
4.5.1 緊迫性72
4.5.2 既往事件72
4.5.3 嚴重性73
4.6 定向活動的組織73
4.6.1 精確線索73
4.6.2 模糊線索73
4.6.3 相關線索分組74
4.6.4 線索存儲74
4.7 信息請求過程75
4.8 本章小結75
第5章 定位77
5.1 入侵檢測77
5.1.1 網絡告警78
5.1.2 系統告警82
5.1.3 定位“玻璃巫師”84
5.2 入侵調查86
5.2.1 網絡分析86
5.2.2 實時響應92
5.2.3 內存分析93
5.2.4 磁盤分析94
5.2.5 惡意軟件分析95
5.3 確定範圍97
5.4 追蹤98
5.4.1 線索開發98
5.4.2 線索驗證99
5.5 本章小結99
第6章 消除100
6.1 消除並非反擊100
6.2 消除的各階段101
6.2.1 緩解101
6.2.2 修復104
6.2.3 重構106
6.3 採取行動107
6.3.1 阻止107
6.3.2 干擾108
6.3.3 降級108
6.3.4 欺騙108
6.3.5 銷毀109
6.4 事件數據的組織109
6.4.1 行動跟蹤工具110
6.4.2 專用工具112
6.5 評估損失113
6.6 監控生命週期113
6.7 本章小結115
第7章 利用116
7.1 什麼可以利用117
7.2 信息收集117
7.3 威脅信息存儲118
7.3.1 信標的數據標準與格式118
7.3.2 戰略信息的數據標準與格式121
7.3.3 維護信息123
7.3.4 威脅情報平臺124
7.4 本章小結126
第8章 分析127
8.1 分析的基本原理127
8.2 可以分析什麼129
8.3 進行分析130
8.3.1 拓線數據131
8.3.2 提出假設134
8.3.3 評估關鍵假設135
8.3.4 判斷和結論138
8.4 分析過程與方法138
8.4.1 結構化分析138
8.4.2 以目標為中心的分析140
8.4.3 競爭性假設分析法141
8.4.4 圖形分析143
8.4.5 反向分析方法144
8.5 本章小結145
第9章 傳播146
9.1 情報客戶的目標147
9.2 受眾147
9.2.1 管理人員/領導類客戶147
9.2.2 內部技術客戶150
9.2.3 外部技術客戶151
9.2.4 設定客戶角色152
9.3 作者154
9.4 可行動性156
9.5 寫作步驟157
9.5.1 規劃158
9.5.2 草稿158
9.5.3 編輯159
9.6 情報產品版式161
9.6.1 簡易格式產品161
9.6.2 完整格式產品165
9.6.3 情報需求流程173
9.6.4 自動使用型產品176
9.7 節奏安排180
9.7.1 分發180
9.7.2 反饋181
9.7.3 定期發佈產品181
9.8 本章小結182
第三部分 未來之路
第10章 戰略情報185
10.1 什麼是戰略情報186
10.2 戰略情報週期189
10.2.1 戰略需求的設定189
10.2.2 收集190
10.2.3 分析192
10.2.4 傳播195
10.3 本章小結196
第11章 建立情報計劃197
11.1 你準備好了嗎197
11.2 規劃情報計劃199
11.2.1 定義利益相關者199
11.2.2 定義目標200
11.2.3 定義成功標準201
11.2.4 確定需求和限制201
11.2.5 定義度量203
11.3 利益相關者檔案203
11.4 戰術用例204
11.4.1 SOC支持204
11.4.2 指標管理205
11.5 運營用例206
11.6 戰略用例207
11.6.1 架構支持207
11.6.2 風險評估/戰略態勢感知208
11.7 從戰略到戰術還是從戰術到戰略208
11.8 雇用一個情報團隊209
11.9 展示情報計劃的價值209
11.10 本章小結210
附錄 威脅情報內容211
您曾經瀏覽過的商品
購物須知
大陸出版品因裝訂品質及貨運條件與台灣出版品落差甚大,除封面破損、內頁脫落等較嚴重的狀態,其餘商品將正常出貨。
特別提醒:部分書籍附贈之內容(如音頻mp3或影片dvd等)已無實體光碟提供,需以QR CODE 連結至當地網站註冊“並通過驗證程序”,方可下載使用。
無現貨庫存之簡體書,將向海外調貨:
海外有庫存之書籍,等候約45個工作天;
海外無庫存之書籍,平均作業時間約60個工作天,然不保證確定可調到貨,尚請見諒。
為了保護您的權益,「三民網路書店」提供會員七日商品鑑賞期(收到商品為起始日)。
若要辦理退貨,請在商品鑑賞期內寄回,且商品必須是全新狀態與完整包裝(商品、附件、發票、隨貨贈品等)否則恕不接受退貨。