在发生安全漏洞后，使用精心设计的事件响应计划可以使你的团队识别攻击者并了解他们的操作方式。但只有当你以处理网络威胁情报的思维方式处理事件响应时，你才能真正理解这些信息的价值。在本书中，你将学习情报分析的基础知识，以及将这些技术整合到事件响应过程中的最佳方法。 每种方法都加强了另一种方法：威胁情报支持和增强事件响应，而事件响应生成有用的威胁情报。本书可以帮助事件管理人员、恶意软件分析人员、逆向工程师、数字取证专家、情报分析人员和其他管理人员理解、实现这种关系并从中受益。

第2版序言
第1版序言
前言
第一部分 基础知识
第1章 概述
1.1 情报作为事件响应的一部分
1.1.1 网络威胁情报的历史
1.1.2 现代网络威胁情报
1.1.3 未来之路
1.2 事件响应作为情报的一部分
1.3 什么是情报驱动的事件响应
1.4 为什么是情报驱动的事件响应
1.4.1 SMN行动
1.4.2 SolarWinds
1.5 本章小结
第2章 情报原则
2.1 情报与研究
2.2 数据与情报
2.3 来源与方法
2.4 模型
2.4.1 使用模型进行协作
2.4.2 流程模型
2.4.3 情报循环的应用案例
2.5 好情报的质量
2.5.1 收集方法
2.5.2 收集日期
2.5.3 上下文
2.5.4 解决分析中的偏见
2.6 情报级别
2.6.1 战术情报
2.6.2 作战情报
2.6.3 战略情报
2.7 置信级别
2.8 本章小结
第3章 事件响应原则
3.1 事件响应周期
3.1.1 预备
3.1.2 识别
3.1.3 遏制
3.1.4 消除
3.1.5 恢复
3.1.6 反思
3.2 杀伤链
3.2.1 目标定位
3.2.2 侦察跟踪
3.2.3 武器构造
3.2.4 载荷投递
3.2.5 漏洞利用
3.2.6 后门安装
3.2.7 命令和控制
3.2.8 目标行动
3.2.9 杀伤链示例
3.3 钻石模型
3.3.1 基本模型
……
第二部分 实战篇
第三部分 未来之路