Cyber Shelf

// Comparaison

Incident Response and Computer Forensics vs Intelligence-Driven Incident Response : lequel lire ?

Deux livres de cybersécurité sur Incident Response, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
4/52014
Incident Response and Computer Forensics

Jason T. Luttgens, Matthew Pepe, Kevin Mandia

Le playbook de travail de Luttgens, Pepe et Mandia pour mener un engagement IR d'entreprise : préparation pré-engagement, acquisition de preuves, forensique réseau et host, et la discipline de gestion de projet qui sépare une réponse contrôlée d'une panique.

Intermédiaire
4/52023
Intelligence-Driven Incident Response

Déjouer l'adversaire

Scott J. Roberts, Rebekah Brown

Un guide pratique pour intégrer le renseignement sur les menaces dans la boucle de réponse à incident, construit autour du cycle F3EAD plutôt qu'autour de tutoriels sur l'outil à la mode.

À lire si

Incident responders junior à senior, leads SOC et CISO qui ont besoin de la référence cross-discipline canonique sur ce à quoi ressemble un vrai programme IR de bout en bout. Le plus fort comme primer structurel — le modèle de maturité implicite dans le livre est encore la baseline de fait du champ.
Analystes IR et praticiens du CTI qui veulent un langage de processus commun, et responsables d'équipe construisant une capacité de renseignement de zéro.

À éviter si

Lecteurs voulant le tradecraft actuel sur la réponse aux attaques d'identité (AAD, abus OAuth, golden SAML), l'IR cloud spécifiquement, ou la traque moderne pilotée EDR ; le livre est largement on-prem 2014. À coupler avec des ressources cloud-IR spécifiques (blog Mandiant, runbooks AWS / Azure incident response) pour la couche manquante.
Quiconque cherche des ateliers d'outillage pratiques ou des recettes de detection engineering. C'est du processus et du savoir-faire analytique, pas un manuel de travaux pratiques.

Points clés

  • La préparation est l'engagement : la majeure partie de ce qui détermine l'issue d'une IR est décidée avant que l'appel n'arrive.
  • La discipline acquérir-puis-analyser tient encore ; couper ce coin est ce qui produit les rétrospectives à mauvais titre.
  • Les chapitres gestion de projet du livre sont la moitié sous-estimée — la plupart des réponses ratées sont des échecs de management, pas techniques.
  • F3EAD donne à la réponse à incident et au renseignement une seule boucle reproductible au lieu de deux flux de travail déconnectés.
  • Un bon renseignement est un produit destiné à un consommateur ; si aucune décision ne change, l'analyse n'était qu'un coût.
  • L'attribution et la kill chain sont des outils pour agir, pas des trophées à collectionner.

Comment ils se comparent

Incident Response and Computer Forensics et Intelligence-Driven Incident Response sont tous deux notés 4/5 dans notre catalogue. Choisissez selon vos préférences thématiques et de style, plutôt que sur la note.

Les deux livres ciblent un public de niveau intermédiaire : le choix se fait sur la thématique, pas la difficulté.

Incident Response and Computer Forensics et Intelligence-Driven Incident Response couvrent tous les deux Incident Response, Defensive : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Incident Response and Computer Forensics

Alternatives à Incident Response and Computer ForensicsQue lire après Incident Response and Computer Forensics

Intelligence-Driven Incident Response

Alternatives à Intelligence-Driven Incident ResponseQue lire après Intelligence-Driven Incident Response

Thématiques liées

Incident ResponseDefensive