情报驱动应急响应（原书第2版）

本书在第1版的基础上对网络分析概念和流程进行了改进，提供了将这些技术整合到事件响应过程中的最佳实践。全书分为三部分：基础知识部分（第1~3章），介绍网络威胁情报、情报流程、事件响应流程，以及它们如何协同工作；实战部分（第4~9章），介绍使用F3EAD流程演练情报驱动事件响应（IDIR）的流程，包括查找、定位、消除、利用、分析和传播；未来之路部分（第10~11章），探索IDIR的未来发展方向，包括战略情报的作用、架构、获取以及如何创建情报计划等。本书可以帮助事件管理人员、恶意软件分析师、逆向工程师、数字取证专家和情报分析师理解、实现这种关系并从中受益。

Rebekah Brown是一名网络安全专家，在情报分析界深耕20多年，专门研究网络威胁情报、对手战术、技术和安全。<br /> Scott J. Roberts是Interpres Security威胁研究负责人，专注于情报预测，发布并贡献了多个威胁情报和恶意软件分析工具。

目录<br />第 2 版序言 1<br />第 1 版序言 3<br />前言 7<br />第一部分　基础知识<br />第 1 章 概述 15<br />1.1 情报作为事件响应的一部分 15<br />1.1.1 网络威胁情报的历史 16<br />1.1.2 现代网络威胁情报 18<br />1.1.3 未来之路 19<br />1.2 事件响应作为情报的一部分 19<br />1.3 什么是情报驱动的事件响应 20<br />1.4 为什么是情报驱动的事件响应 20<br />1.4.1 SMN 行动 20<br />1.4.2 SolarWinds 21<br />1.5 本章小结 22<br />第 2 章 情报原则 23<br />2.1 情报与研究 24<br />2.2 数据与情报 24<br />2.3 来源与方法 25<br />2.4 模型 28<br />2.4.1 使用模型进行协作 28<br />2.4.2 流程模型 29<br />2.4.3 情报循环的应用案例 35<br />2.5 好情报的质量 36<br />2.5.1 收集方法 36<br />2.5.2 收集日期 36<br />2.5.3 上下文 36<br />2.5.4 解决分析中的偏见 37<br />2.6 情报级别 37<br />2.6.1 战术情报 37<br />2.6.2 作战情报 37<br />2.6.3 战略情报 38<br />2.7 置信级别 38<br />2.8 本章小结 39<br />第 3 章 事件响应原则 40<br />3.1 事件响应周期 40<br />3.1.1 预备 41<br />3.1.2 识别 42<br />3.1.3 遏制 43<br />3.1.4 消除 44<br />3.1.5 恢复 45<br />3.1.6 反思 45<br />3.2 杀伤链 47<br />3.2.1 目标定位 49<br />3.2.2 侦察跟踪 49<br />3.2.3 武器构造 50<br />3.2.4 载荷投递 54<br />3.2.5 漏洞利用 55<br />3.2.6 后门安装 56<br />3.2.7 命令和控制 57<br />3.2.8 目标行动 57<br />3.2.9 杀伤链示例 60<br />3.3 钻石模型 61<br />3.3.1 基本模型 62<br />3.3.2 模型扩展 62<br />3.4 ATT&CK 和 D3FEND 63<br />3.4.1 ATT&CK 63<br />3.4.2 D3FEND 64<br />3.5 主动防御 65<br />3.5.1 阻断 66<br />3.5.2 干扰 66<br />3.5.3 降级 66<br />3.5.4 欺骗 66<br />3.5.5 销毁 67<br />3.6 F3EAD 67<br />3.6.1 查找 68<br />3.6.2 定位 68<br />3.6.3 消除 68<br />3.6.4 利用 68<br />3.6.5 分析 69<br />3.6.6 传播 69<br />3.6.7 F3EAD 的应用 70<br />3.7 选择正确的模型 71<br />3.8 场景：走鹃行动 71<br />3.9 本章小结 72<br />第二部分　实战篇<br />第 4 章 查找 75<br />4.1 围绕行为体查找目标 75<br />4.1.1 从已知信息着手 77<br />4.1.2 查找阶段的有效信息 77<br />4.1.3 杀伤链的使用 79<br />4.1.4 攻击目标 82<br />4.2 围绕受害者查找目标 83<br />4.3 围绕资产查找目标 85<br />4.4 围绕能力查找目标 87<br />4.5 围绕媒体查找目标 88<br />4.6 根据第三方通知查找目标 89<br />4.7 设定优先级 90<br />4.7.1 紧迫性 90<br />4.7.2 既往事件 90<br />4.7.3 严重性 91<br />4.8 定向活动的组织 91<br />4.8.1 精确线索 91<br />4.8.2 模糊线索 91<br />4.8.3 相关线索分组 91<br />4.8.4 线索存储和记录 92<br />4.9 信息请求过程 92<br />4.10 本章小结 93<br />第 5 章 定位 94<br />5.1 入侵检测 95<br />5.1.1 网络告警 95<br />5.1.2 系统告警 101<br />5.1.3 定位走鹃行动 103<br />5.2 入侵调查 105<br />5.2.1 网络分析 105<br />5.2.2 实时响应 111<br />5.2.3 内存分析 112<br />5.2.4 磁盘分析 113<br />5.2.5 企业检测和响应 115<br />5.2.6 恶意软件分析 116<br />5.3 范围确定 120<br />5.4 威胁狩猎 120<br />5.4.1 提出假设 121<br />5.4.2 验证假设 121<br />5.5 本章小结 121<br />第 6 章 消除 123<br />6.1 消除并非反击 123<br />6.2 消除的各阶段 124<br />6.2.1 缓解 125<br />6.2.2 修复 127<br />6.2.3 重构 130<br />6.3 采取行动 131<br />6.3.1 阻止 131<br />6.3.2 干扰 132<br />6.3.3 降级 133<br />6.3.4 欺骗 133<br />6.3.5 销毁 134<br />6.4 事件数据的组织 134<br />6.4.1 行动跟踪工具 134<br />6.4.2 专用工具 137<br />6.5 评估损失 137<br />6.6 监控生命周期 138<br />6.6.1 创建 138<br />6.6.2 测试 138<br />6.6.3 部署 139<br />6.6.4 改进 139<br />6.6.5 退役 139<br />6.7 本章小结 140<br />第 7 章 利用 141<br />7.1 战术与战略 OODA 循环 142<br />7.2 什么可以利用 143<br />7.3 信息收集 144<br />7.3.1 信息收集的类型 145<br />7.3.2 挖掘既往事件 145<br />7.3.3 收集外部信息（或进行文献综述） 146<br />7.4 威胁数据的提取与存储 146<br />7.4.1 存储威胁数据的标准 146<br />7.4.2 信标的数据标准与格式 147<br />7.4.3 战略信息的数据标准与格式 150<br />7.4.4 信息提取流程 152<br />7.5 信息管理 153<br />7.6 本章小结 156<br />第 8 章 分析 157<br />8.1 分析的基本原理 157<br />8.1.1 双重过程思维 158<br />8.1.2 演绎推理、归纳推理和溯因推理 159<br />8.2 分析过程与方法 162<br />8.2.1 结构化分析方法 162<br />8.2.2 以目标为中心的分析 170<br />8.3 进行分析 173<br />8.3.1 分析什么 173<br />8.3.2 拓线数据 175<br />8.3.3 利用信息共享 178<br />8.3.4 提出假设 178<br />8.3.5 评估关键假设 179<br />8.4 使你出错的事情（分析偏见） 180<br />8.5 判断和结论 183<br />8.6 本章小结 183<br />第 9 章 传播 185<br />9.1 情报客户的目标 186<br />9.2 受众 186<br />9.2.1 行政领导类客户 186<br />9.2.2 内部技术客户 188<br />9.2.3 外部技术客户 189<br />9.2.4 设定客户画像 191<br />9.3 作者 193<br />9.4 可操作性 194<br />9.5 写作步骤 196<br />9.5.1 规划 196<br />9.5.2 起草 196<br />9.5.3 编辑 197<br />9.6 情报产品 199<br />9.6.1 短篇幅情报产品 200<br />9.6.2 长篇幅情报产品 204<br />9.6.3 信息请求流程 210<br />9.6.4 自动使用型情报产品 213<br />9.7 节奏安排 217<br />9.7.1 分发 218<br />9.7.2 反馈 218<br />9.7.3 定期发布产品 219<br />9.8 本章小结 219<br />第三部分　未来之路<br />第 10 章 战略情报 223<br />10.1 什么是战略情报 224<br />10.2 战略情报在情报驱动的事件响应中的角色 225<br />10.3 事件响应之外的情报 226<br />10.3.1 红队 226<br />10.3.2 漏洞管理 227<br />10.3.3 架构和工程 228<br />10.3.4 隐私、安全和物理安全性 229<br />10.4 利用战略情报构建框架 229<br />10.5 战略情报循环 235<br />10.5.1 战略需求的设定 235<br />10.5.2 收集 236<br />10.5.3 分析 238<br />10.5.4 传播 241<br />10.6 朝着预期情报前进 241<br />10.7 本章小结 242<br />第 11 章 建立情报计划 244<br />11.1 你准备好了吗 244<br />11.2 规划情报计划 246<br />11.2.1 定义利益相关者 246<br />11.2.2 定义目标 248<br />11.2.3 定义成功标准 248<br />11.2.4 确定需求和限制 249<br />11.2.5 战略性思考 250<br />11.2.6 定义度量标准 250<br />11.3 利益相关者档案 251<br />11.4 战术用例 252<br />11.4.1 SOC 支持 252<br />11.4.2 指标管理 253<br />11.5 运营用例 254<br />11.6 战略用例 255<br />11.6.1 架构支持 255<br />11.6.2 风险评估 — 战略态势感知 256<br />11.7 从战略到战术还是从战术到战略 256<br />11.8 情报团队 257<br />11.8.1 建立多元化团队 257<br />11.8.2 团队建设和流程开发 258<br />11.9 展示情报计划的价值 259<br />11.10 本章小结 260