情報(bào)驅(qū)動(dòng)應(yīng)急響應(yīng)

序言1

前言4

第一部分 基礎(chǔ)知識(shí)

第1章 概述11

1.1 情報(bào)作為事件響應(yīng)的一部分11

1.1.1 網(wǎng)絡(luò)威脅情報(bào)的歷史11

1.1.2 現(xiàn)代網(wǎng)絡(luò)威脅情報(bào)12

1.1.3 未來(lái)之路13

1.2 事件響應(yīng)作為情報(bào)的一部分13

1.3 什么是情報(bào)驅(qū)動(dòng)的事件響應(yīng)14

1.4 為什么是情報(bào)驅(qū)動(dòng)的事件響應(yīng)14

1.4.1 SMN行動(dòng)14

1.4.2 極光行動(dòng)15

1.5 本章小結(jié)16

第2章 情報(bào)原則17

2.1 數(shù)據(jù)與情報(bào)17

2.2 來(lái)源與方法18

2.3 流程模型21

2.3.1 OODA循環(huán)21

2.3.2 情報(bào)周期23

2.3.3 情報(bào)周期的應(yīng)用案例27

2.4 有質(zhì)量的情報(bào)28

2.5 情報(bào)級(jí)別29

2.5.1 戰(zhàn)術(shù)情報(bào)29

2.5.2 作業(yè)情報(bào)29

2.5.3 戰(zhàn)略情報(bào)30

2.6 置信級(jí)別30

2.7 本章小結(jié)31

第3章 事件響應(yīng)原則32

3.1 事件響應(yīng)周期32

3.1.1 預(yù)備33

3.1.2 識(shí)別34

3.1.3 遏制35

3.1.4 消除35

3.1.5 恢復(fù)36

3.1.6 反思37

3.2 殺傷鏈38

3.2.1 目標(biāo)定位40

3.2.2 偵查跟蹤40

3.2.3 武器構(gòu)造41

3.2.4 載荷投遞45

3.2.5 漏洞利用46

3.2.6 后門(mén)安裝46

3.2.7 命令與控制47

3.2.8 目標(biāo)行動(dòng)47

3.2.9 殺傷鏈舉例49

3.3 鉆石模型50

3.3.1 基本模型50

3.3.2 模型擴(kuò)展51

3.4 主動(dòng)防御51

3.4.1 阻斷52

3.4.2 干擾52

3.4.3 降級(jí)52

3.4.4 欺騙53

3.4.5 破壞53

3.5 F3EAD53

3.5.1 查找54

3.5.2 定位54

3.5.3 消除55

3.5.4 利用55

3.5.5 分析55

3.5.6 傳播56

3.5.7 F3EAD的應(yīng)用56

3.6 選擇正確的模型57

3.7 場(chǎng)景案例：玻璃巫師57

3.8 本章小結(jié)58

第二部分 實(shí)戰(zhàn)篇

第4章 查找61

4.1 圍繞攻擊者查找目標(biāo)61

4.1.1 從已知信息著手63

4.1.2 查找有效信息63

4.2 圍繞資產(chǎn)查找目標(biāo)69

4.3 圍繞新聞查找目標(biāo)70

4.4 根據(jù)第三方通知查找目標(biāo)71

4.5 設(shè)定優(yōu)先級(jí)72

4.5.1 緊迫性72

4.5.2 既往事件72

4.5.3 嚴(yán)重性73

4.6 定向活動(dòng)的組織73

4.6.1 精確線(xiàn)索73

4.6.2 模糊線(xiàn)索73

4.6.3 相關(guān)線(xiàn)索分組74

4.6.4 線(xiàn)索存儲(chǔ)74

4.7 信息請(qǐng)求過(guò)程75

4.8 本章小結(jié)75

第5章 定位77

5.1 入侵檢測(cè)77

5.1.1 網(wǎng)絡(luò)告警78

5.1.2 系統(tǒng)告警82

5.1.3 定位“玻璃巫師”84

5.2 入侵調(diào)查86

5.2.1 網(wǎng)絡(luò)分析86

5.2.2 實(shí)時(shí)響應(yīng)92

5.2.3 內(nèi)存分析93

5.2.4 磁盤(pán)分析94

5.2.5 惡意軟件分析95

5.3 確定范圍97

5.4 追蹤98

5.4.1 線(xiàn)索開(kāi)發(fā)98

5.4.2 線(xiàn)索驗(yàn)證99

5.5 本章小結(jié)99

第6章 消除100

6.1 消除并非反擊100

6.2 消除的各階段101

6.2.1 緩解101

6.2.2 修復(fù)104

6.2.3 重構(gòu)106

6.3 采取行動(dòng)107

6.3.1 阻止107

6.3.2 干擾108

6.3.3 降級(jí)108

6.3.4 欺騙108

6.3.5 銷(xiāo)毀109

6.4 事件數(shù)據(jù)的組織109

6.4.1 行動(dòng)跟蹤工具110

6.4.2 專(zhuān)用工具112

6.5 評(píng)估損失113

6.6 監(jiān)控生命周期113

6.7 本章小結(jié)115

第7章 利用116

7.1 什么可以利用117

7.2 信息收集117

7.3 威脅信息存儲(chǔ)118

7.3.1 信標(biāo)的數(shù)據(jù)標(biāo)準(zhǔn)與格式118

7.3.2 戰(zhàn)略信息的數(shù)據(jù)標(biāo)準(zhǔn)與格式121

7.3.3 維護(hù)信息123

7.3.4 威脅情報(bào)平臺(tái)124

7.4 本章小結(jié)126

第8章 分析127

8.1 分析的基本原理127

8.2 可以分析什么129

8.3 進(jìn)行分析130

8.3.1 拓線(xiàn)數(shù)據(jù)131

8.3.2 提出假設(shè)134

8.3.3 評(píng)估關(guān)鍵假設(shè)135

8.3.4 判斷和結(jié)論138

8.4 分析過(guò)程與方法138

8.4.1 結(jié)構(gòu)化分析138

8.4.2 以目標(biāo)為中心的分析140

8.4.3 競(jìng)爭(zhēng)性假設(shè)分析法141

8.4.4 圖形分析143

8.4.5 反向分析方法144

8.5 本章小結(jié)145

第9章 傳播146

9.1 情報(bào)客戶(hù)的目標(biāo)147

9.2 受眾147

9.2.1 管理人員/領(lǐng)導(dǎo)類(lèi)客戶(hù)147

9.2.2 內(nèi)部技術(shù)客戶(hù)150

9.2.3 外部技術(shù)客戶(hù)151

9.2.4 設(shè)定客戶(hù)角色152

9.3 作者154

9.4 可行動(dòng)性156

9.5 寫(xiě)作步驟157

9.5.1 規(guī)劃158

9.5.2 草稿158

9.5.3 編輯159

9.6 情報(bào)產(chǎn)品版式161

9.6.1 簡(jiǎn)易格式產(chǎn)品161

9.6.2 完整格式產(chǎn)品165

9.6.3 情報(bào)需求流程173

9.6.4 自動(dòng)使用型產(chǎn)品176

9.7 節(jié)奏安排180

9.7.1 分發(fā)180

9.7.2 反饋181

9.7.3 定期發(fā)布產(chǎn)品181

9.8 本章小結(jié)182

第三部分 未來(lái)之路

第10章 戰(zhàn)略情報(bào)185

10.1 什么是戰(zhàn)略情報(bào)186

10.2 戰(zhàn)略情報(bào)周期189

10.2.1 戰(zhàn)略需求的設(shè)定189

10.2.2 收集190

10.2.3 分析192

10.2.4 傳播195

10.3 本章小結(jié)196

第11章 建立情報(bào)計(jì)劃197

11.1 你準(zhǔn)備好了嗎197

11.2 規(guī)劃情報(bào)計(jì)劃199

11.2.1 定義利益相關(guān)者199

11.2.2 定義目標(biāo)200

11.2.3 定義成功標(biāo)準(zhǔn)201

11.2.4 確定需求和限制201

11.2.5 定義度量203

11.3 利益相關(guān)者檔案203

11.4 戰(zhàn)術(shù)用例204

11.4.1 SOC支持204

11.4.2 指標(biāo)管理205

11.5 運(yùn)營(yíng)用例206

11.6 戰(zhàn)略用例207

11.6.1 架構(gòu)支持207

11.6.2 風(fēng)險(xiǎn)評(píng)估/戰(zhàn)略態(tài)勢(shì)感知208

11.7 從戰(zhàn)略到戰(zhàn)術(shù)還是從戰(zhàn)術(shù)到戰(zhàn)略208

11.8 雇用一個(gè)情報(bào)團(tuán)隊(duì)209

11.9 展示情報(bào)計(jì)劃的價(jià)值209

11.10 本章小結(jié)210

附錄 威脅情報(bào)內(nèi)容211