情报驱动应急响应(第2版)
情报驱动应急响应(第2版)
Rebekah Brown, Scott J. Roberts
李柏松, 李燕宏 译
出版时间:2025年09月
页数:260
“对于网络威胁情报分析人员、威胁猎杀工程师和蓝队成员来说,这本书是威胁情报战略方面的权威资料,也是关注自身防御能力建设的网络安全管理者及分析人员的必读书目。”
——Mick Baccio
白宫威胁情报负责人,ThruntCon 创始人
“布朗和罗伯茨从部门、组织乃至政府的不同视角,就情报主题及其挑战和机遇进行了深入探索,通过这本书分享了令人难以置信的深刻经验,还提供了相关专业知识,帮助你深入理解和有效利用威胁情报,随着时间的推移,逐步降低网络安全风险。”
——Jen Ellis
美国勒索软件工作组联合主席,NextJenSecurity创始人

在发生安全漏洞后,使用精心设计的事件响应计划可以使你的团队识别攻击者并了解他们的操作方式。但只有当你以处理网络威胁情报的思维方式处理事件响应时,你才能真正理解这些信息的价值。在本书中,你将学习情报分析的基础知识,以及将这些技术整合到事件响应过程中的最佳方法。
每种方法都加强了另一种方法:威胁情报支持和增强事件响应,而事件响应生成有用的威胁情报。本书可以帮助事件管理人员、恶意软件分析人员、逆向工程师、数字取证专家、情报分析人员和其他管理人员理解、实现这种关系并从中受益。
本书分为三部分:
● 基础知识:介绍网络威胁情报、情报流程、事件响应流程,以及它们如何协同工作。
● 实际应用:使用F3EAD流程演练情报驱动应急响应(IDIR)流程,包括发现、修复、完成、利用、分析和传播。
● 未来之路:探索情报驱动应急响应的宏观方面,超越个别事件响应调查,包括战略情报和威胁情报团队建设。
  1. 第2版序言
  2. 第1版序言
  3. 前言
  4. 第一部分 基础知识
  5. 第1章 概述
  6. 1.1 情报作为事件响应的一部分
  7. 1.1.1 网络威胁情报的历史
  8. 1.1.2 现代网络威胁情报
  9. 1.1.3 未来之路
  10. 1.2 事件响应作为情报的一部分
  11. 1.3 什么是情报驱动的事件响应
  12. 1.4 为什么是情报驱动的事件响应
  13. 1.4.1 SMN行动
  14. 1.4.2 SolarWinds
  15. 1.5 本章小结
  16. 第2章 情报原则
  17. 2.1 情报与研究
  18. 2.2 数据与情报
  19. 2.3 来源与方法
  20. 2.4 模型
  21. 2.4.1 使用模型进行协作
  22. 2.4.2 流程模型
  23. 2.4.3 情报循环的应用案例
  24. 2.5 好情报的质量
  25. 2.5.1 收集方法
  26. 2.5.2 收集日期
  27. 2.5.3 上下文
  28. 2.5.4 解决分析中的偏见
  29. 2.6 情报级别
  30. 2.6.1 战术情报
  31. 2.6.2 作战情报
  32. 2.6.3 战略情报
  33. 2.7 置信级别
  34. 2.8 本章小结
  35. 第3章 事件响应原则
  36. 3.1 事件响应周期
  37. 3.1.1 预备
  38. 3.1.2 识别
  39. 3.1.3 遏制
  40. 3.1.4 消除
  41. 3.1.5 恢复
  42. 3.1.6 反思
  43. 3.2 杀伤链
  44. 3.2.1 目标定位
  45. 3.2.2 侦察跟踪
  46. 3.2.3 武器构造
  47. 3.2.4 载荷投递
  48. 3.2.5 漏洞利用
  49. 3.2.6 后门安装
  50. 3.2.7 命令和控制
  51. 3.2.8 目标行动
  52. 3.2.9 杀伤链示例
  53. 3.3 钻石模型
  54. 3.3.1 基本模型
  55. 3.3.2 模型扩展
  56. 3.4 ATT&CK和D3FEND
  57. 3.4.1 ATT&CK
  58. 3.4.2 D3FEND
  59. 3.5 主动防御
  60. 3.5.1 阻断
  61. 3.5.2 干扰
  62. 3.5.3 降级
  63. 3.5.4 欺骗
  64. 3.5.5 销毁
  65. 3.6 F3EAD
  66. 3.6.1 查找
  67. 3.6.2 定位
  68. 3.6.3 消除
  69. 3.6.4 利用
  70. 3.6.5 分析
  71. 3.6.6 传播
  72. 3.6.7 F3EAD的应用
  73. 3.7 选择正确的模型
  74. 3.8 场景:走鹃行动
  75. 3.9 本章小结
  76. 第二部分 实战篇
  77. 第4章 查找
  78. 4.1 围绕行为体查找目标
  79. 4.1.1 从已知信息着手
  80. 4.1.2 查找阶段的有效信息
  81. 4.1.3 杀伤链的使用
  82. 4.1.4 攻击目标
  83. 4.2 围绕受害者查找目标
  84. 4.3 围绕资产查找目标
  85. 4.4 围绕能力查找目标
  86. 4.5 围绕媒体查找目标
  87. 4.6 根据第三方通知查找目标
  88. 4.7 设定优先级
  89. 4.7.1 紧迫性
  90. 4.7.2 既往事件
  91. 4.7.3 严重性
  92. 4.8 定向活动的组织
  93. 4.8.1 精确线索
  94. 4.8.2 模糊线索
  95. 4.8.3 相关线索分组
  96. 4.8.4 线索存储和记录
  97. 4.9 信息请求过程
  98. 4.10 本章小结
  99. 第5章 定位
  100. 5.1 入侵检测
  101. 5.1.1 网络告警
  102. 5.1.2 系统告警
  103. 5.1.3 定位走鹃行动
  104. 5.2 入侵调查
  105. 5.2.1 网络分析
  106. 5.2.2 实时响应
  107. 5.2.3 内存分析
  108. 5.2.4 磁盘分析
  109. 5.2.5 企业检测和响应
  110. 5.2.6 恶意软件分析
  111. 5.3 范围确定
  112. 5.4 威胁狩猎
  113. 5.4.1 提出假设
  114. 5.4.2 验证假设
  115. 5.5 本章小结
  116. 第6章 消除
  117. 6.1 消除并非反击
  118. 6.2 消除的各阶段
  119. 6.2.1 缓解
  120. 6.2.2 修复
  121. 6.2.3 重构
  122. 6.3 采取行动
  123. 6.3.1 阻止
  124. 6.3.2 干扰
  125. 6.3.3 降级
  126. 6.3.4 欺骗
  127. 6.3.5 销毁
  128. 6.4 事件数据的组织
  129. 6.4.1 行动跟踪工具
  130. 6.4.2 专用工具
  131. 6.5 评估损失
  132. 6.6 监控生命周期
  133. 6.6.1 创建
  134. 6.6.2 测试
  135. 6.6.3 部署
  136. 6.6.4 改进
  137. 6.6.5 退役
  138. 6.7 本章小结
  139. 第7章 利用
  140. 7.1 战术与战略OODA循环
  141. 7.2 什么可以利用
  142. 7.3 信息收集
  143. 7.3.1 信息收集的类型
  144. 7.3.2 挖掘既往事件
  145. 7.3.3 收集外部信息(或进行文献综述)
  146. 7.4 威胁数据的提取与存储
  147. 7.4.1 存储威胁数据的标准
  148. 7.4.2 信标的数据标准与格式
  149. 7.4.3 战略信息的数据标准与格式
  150. 7.4.4 信息提取流程
  151. 7.5 信息管理
  152. 7.6 本章小结
  153. 第8章 分析
  154. 8.1 分析的基本原理
  155. 8.1.1 双重过程思维
  156. 8.1.2 演绎推理、归纳推理和溯因推理
  157. 8.2 分析过程与方法
  158. 8.2.1 结构化分析方法
  159. 8.2.2 以目标为中心的分析
  160. 8.3 进行分析
  161. 8.3.1 分析什么
  162. 8.3.2 拓线数据
  163. 8.3.3 利用信息共享
  164. 8.3.4 提出假设
  165. 8.3.5 评估关键假设
  166. 8.4 使你出错的事情(分析偏见)
  167. 8.5 判断和结论
  168. 8.6 本章小结
  169. 第9章 传播
  170. 9.1 情报客户的目标
  171. 9.2 受众
  172. 9.2.1 行政领导类客户
  173. 9.2.2 内部技术客户
  174. 9.2.3 外部技术客户
  175. 9.2.4 设定客户画像
  176. 9.3 作者
  177. 9.4 可操作性
  178. 9.5 写作步骤
  179. 9.5.1 规划
  180. 9.5.2 起草
  181. 9.5.3 编辑
  182. 9.6 情报产品
  183. 9.6.1 短篇幅情报产品
  184. 9.6.2 长篇幅情报产品
  185. 9.6.3 信息请求流程
  186. 9.6.4 自动使用型情报产品
  187. 9.7 节奏安排
  188. 9.7.1 分发
  189. 9.7.2 反馈
  190. 9.7.3 定期发布产品
  191. 9.8 本章小结
  192. 第三部分 未来之路
  193. 第10章 战略情报
  194. 10.1 什么是战略情报
  195. 10.2 战略情报在情报驱动的事件响应中的角色
  196. 10.3 事件响应之外的情报
  197. 10.3.1 红队
  198. 10.3.2 漏洞管理
  199. 10.3.3 架构和工程
  200. 10.3.4 隐私、安全和物理安全性
  201. 10.4 利用战略情报构建框架
  202. 10.5 战略情报循环
  203. 10.5.1 战略需求的设定
  204. 10.5.2 收集
  205. 10.5.3 分析
  206. 10.5.4 传播
  207. 10.6 朝着预期情报前进
  208. 10.7 本章小结
  209. 第11章 建立情报计划
  210. 11.1 你准备好了吗
  211. 11.2 规划情报计划
  212. 11.2.1 定义利益相关者
  213. 11.2.2 定义目标
  214. 11.2.3 定义成功标准
  215. 11.2.4 确定需求和限制
  216. 11.2.5 战略性思考
  217. 11.2.6 定义度量标准
  218. 11.3 利益相关者档案
  219. 11.4 战术用例
  220. 11.4.1 SOC支持
  221. 11.4.2 指标管理
  222. 11.5 运营用例
  223. 11.6 战略用例
  224. 11.6.1 架构支持
  225. 11.6.2 风险评估 — 战略态势感知
  226. 11.7 从战略到战术还是从战术到战略
  227. 11.8 情报团队
  228. 11.8.1 建立多元化团队
  229. 11.8.2 团队建设和流程开发
  230. 11.9 展示情报计划的价值
  231. 11.10 本章小结
书名:情报驱动应急响应(第2版)
译者:李柏松, 李燕宏 译
国内出版社:机械工业出版社
出版时间:2025年09月
页数:260
书号:978-7-111-78685-6
原版书书名:Intelligence-Driven Incident Response, 2nd Edition
原版书出版商:O'Reilly Media
Rebekah Brown
 
Rebekah Brown是Rapid7公司威胁情报部门主管。Rapid7是一家提供数据支持帮助网络安全技术人员、安全专家识别安全风险的公司。她曾在美国国家安全局担任网络战分析员,也是美国海军陆战队网络小组的行动负责人。
 
 
Scott J. Roberts
 
Scott J. Roberts是GitHub公司的“捕快”,曾就职于大型安全厂商、政府安全机构以及财务服务安全公司等。他曾发布并贡献多个威胁情报及恶意软件分析工具。
 
 
本书的封面动物是扇尾渡鸦(Corvus rhipidurus)。它是体型最小的鸦科鸦属鸟类。这种鸟原产于阿拉伯半岛及非洲东北部之间的狭长海域(红海)。如今,在阿拉伯半岛以西及撒哈拉沙漠、肯尼亚和尼日尔的南部也发现过它的足迹。它的巢穴位于岩壁、悬崖或树木上。
扇尾渡鸦的羽毛、喙及脚部通体黑色,在特定的光线下,呈现紫色、灰色或棕色。雄性或雌性皆有约18英寸的平均身长,翼展40~47英寸。鸟尾圆,双翅宽,主翼长,飞行时形如秃鹫。
扇尾渡鸦食性杂,主要取食昆虫和其他无脊椎动物、浆果、谷物,或在人类聚居处觅食。像鹦鹉等会说话的鸟类一样,扇尾渡鸦能够模仿人类声音,但需要得到人类的驯化。
购买选项
定价:99.00元
书号:978-7-111-78685-6
出版社:机械工业出版社
联系出版社邮购

© 2026,奥莱利技术咨询(北京)有限公司。版权所有。
传真: +86-10-88097463
 京ICP备05003502号