Cyber Shelf

// Comparaison

Intelligence-Driven Incident Response vs The Practice of Network Security Monitoring : lequel lire ?

Deux livres de cybersécurité sur Defensive, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
4/52023
Intelligence-Driven Incident Response

Déjouer l'adversaire

Scott J. Roberts, Rebekah Brown

Un guide pratique pour intégrer le renseignement sur les menaces dans la boucle de réponse à incident, construit autour du cycle F3EAD plutôt qu'autour de tutoriels sur l'outil à la mode.

Intermédiaire
5/52013
The Practice of Network Security Monitoring

Understanding Incident Detection and Response

Richard Bejtlich

Le playbook NSM de Richard Bejtlich : comment déployer les sensors de collecte, valider que vous voyez réellement ce que vous pensez voir, et construire des workflows de détection autour d'outils open-source.

À lire si

Analystes IR et praticiens du CTI qui veulent un langage de processus commun, et responsables d'équipe construisant une capacité de renseignement de zéro.
Tout analyste SOC et détection engineer. Le texte fondateur de Bejtlich sur le NSM : collect-everything, alert-on-narrow, investigate-broadly. Définit le vocabulaire que le champ détection moderne utilise encore.

À éviter si

Quiconque cherche des ateliers d'outillage pratiques ou des recettes de detection engineering. C'est du processus et du savoir-faire analytique, pas un manuel de travaux pratiques.
Lecteurs voulant les spécificités de tooling SIEM actuel. Le livre précède l'EDR-par-défaut et la télémétrie cloud-native moderne ; les principes se transfèrent, les spécificités tooling non.

Points clés

  • F3EAD donne à la réponse à incident et au renseignement une seule boucle reproductible au lieu de deux flux de travail déconnectés.
  • Un bon renseignement est un produit destiné à un consommateur ; si aucune décision ne change, l'analyse n'était qu'un coût.
  • L'attribution et la kill chain sont des outils pour agir, pas des trophées à collectionner.
  • La détection sans prévention est un choix stratégique, pas un repli ; Bejtlich a été des années en avance pour défendre cela et le livre reste l'argumentation la plus claire.
  • Les quatre types de données (full content, session, transactional, statistical) sont encore le bon framework pour penser la couverture détection.
  • La plupart des échecs SOC sont organisationnels et procéduraux, pas tooling ; les chapitres du livre sur workflows, runbooks et croissance d'analyste sont encore les meilleurs en imprimé.

Comment ils se comparent

Nous notons The Practice of Network Security Monitoring plus haut (5/5 contre 4/5 pour Intelligence-Driven Incident Response). Pour la plupart des lecteurs, The Practice of Network Security Monitoring est le choix principal et Intelligence-Driven Incident Response un complément utile.

Les deux livres ciblent un public de niveau intermédiaire : le choix se fait sur la thématique, pas la difficulté.

Intelligence-Driven Incident Response et The Practice of Network Security Monitoring couvrent tous les deux Defensive : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Intelligence-Driven Incident Response

Alternatives à Intelligence-Driven Incident ResponseQue lire après Intelligence-Driven Incident Response

The Practice of Network Security Monitoring

Alternatives à The Practice of Network Security MonitoringQue lire après The Practice of Network Security Monitoring

Thématiques liées

Defensive