Inteligencia sobre amenazas cibernéticas - La guía completa

Libro Multilingüe

🇺🇸 Inglés (Original) 🇪🇸 Español (Traducción)

✅ Todos los idiomas están incluidos en su compra

Editorial SAP PRESS

Año / Edición 2026 / 1

Páginas 755

Autores Haydar Yener Arici

Inteligencia sobre amenazas cibernéticas

Un programa sólido de ciberseguridad debe mantenerse informado. Con esta guía integral, domina las técnicas de inteligencia sobre amenazas cibernéticas (CTI) y comprende sus aplicaciones prácticas. Recorra el ciclo de vida de la inteligencia y póngase al día con las últimas herramientas y tecnologías para la recopilación de inteligencia, la elaboración de perfiles de adversarios, el análisis forense basado en redes y hosts, la búsqueda de amenazas y más. Siga ejemplos prácticos que muestran estrategias clave de CTI en las operaciones de seguridad modernas.

Comprende el ciclo de vida de la inteligencia cibernética y conoce tus fuentes: OSINT, HUMINT y SIGINT
Aprende sobre los modelos de amenazas y recorre el análisis forense de datos de red y sistemas de host para detectar comportamientos maliciosos
Integra la CTI en la respuesta a incidentes, explora la búsqueda de amenazas y descubre cómo la automatización puede mejorar tus flujos de trabajo de CTI

Aprenderás sobre:

Marcos y fundamentos:
Descubre qué es la inteligencia sobre amenazas cibernéticas y cómo funciona en el mundo real. Comprende el ciclo de vida completo de la inteligencia, desde la planificación hasta la retroalimentación, y las diferentes fuentes de inteligencia, desde OSINT hasta SIGINT.
Modelado, análisis y respuesta ante amenazas:
Aprende sobre las herramientas y técnicas de CTI. Aplica el marco MITRE ATT&CK para modelar amenazas, convertir los datos de la red y de los hosts en inteligencia procesable, interpretar los resultados de la detección de amenazas, evaluar tus opciones de automatización, incluyendo herramientas como MISP, y mucho más.
Mejores prácticas y casos de estudio:
Explora flujos de trabajo del mundo real y ejemplos prácticos. Descubre cómo la inteligencia respalda la respuesta a incidentes, la búsqueda de amenazas y la automatización, y aprende métodos comprobados para manejar la calidad de los datos, el enriquecimiento y la integración operativa.

Aspectos Destacados:

Ciclo de vida de la ciberinteligencia
Inteligencia de fuentes abiertas (OSINT)
Inteligencia humana (HUMINT)
Inteligencia de señales (SIGINT)
Recolección de inteligencia
Perfilado de adversarios
Integridad de los flujos de inteligencia sobre amenazas
Análisis forense de redes
Análisis forense basado en el host
Respuesta a incidentes
Búsqueda de amenazas
Automatización

Ver Tabla de Contenidos Completa

Prólogo
- A quién va dirigido este libro
- Cómo está organizado este libro
- Agradecimientos
- Conclusión
1 Fundamentos de la inteligencia sobre amenazas cibernéticas
- 1.1 ¿Qué es la inteligencia sobre amenazas cibernéticas?
- 1.2 El contexto estratégico y la importancia de la CTI
  - 1.2.1 Dimensiones del valor estratégico
  - 1.2.2 Consideraciones a nivel estratégico
  - 1.2.3 Gobernanza y modelos operativos
  - 1.2.4 Gestión de los requisitos de inteligencia
- 1.3 La evolución de la inteligencia sobre amenazas
  - 1.3.1 Los fundamentos teóricos de la inteligencia militar clásica
  - 1.3.2 El inicio de la era cibernética y el concepto de APT
  - 1.3.3 El ciclo de la inteligencia sobre amenazas
  - 1.3.4 Hitos a través de estudios de caso
- 1.4 Tipos de inteligencia en ciberseguridad
- 1.5 Conceptos fundamentales y modelos conceptuales
  - 1.5.1 Terminología importante
  - 1.5.2 Actores de amenazas y sus motivaciones
  - 1.5.3 Los actores de amenazas y el ciclo de inteligencia
  - 1.5.4 Tácticas, técnicas y procedimientos (TTP) e ingeniería de detección
- 1.6 Resumen
2 El ciclo de vida de la inteligencia en la práctica
- 2.1 Fase de planificación y dirección
  - 2.1.1 Componentes de la fase de planificación
  - 2.1.2 Profundización en el marco conceptual: PIR, SIR y EEI
  - 2.1.3 Referencias a normas y marcos
  - 2.1.4 Sesgos analíticos y gestión de sesgos
  - 2.1.5 Marco de gobernanza de la inteligencia
  - 2.1.6 Análisis de las partes interesadas y comunicación
  - 2.1.7 Ecosistema de intercambio de inteligencia sobre amenazas
  - 2.1.8 Tolerancia al riesgo y objetivos empresariales corporativos
- 2.2 Recolección: técnicas activas y pasivas
  - 2.2.1 Importancia estratégica de la fase de recolección
  - 2.2.2 Técnicas de recolección pasivas
  - 2.2.3 Técnicas de recolección activas
- 2.3 Procesamiento y análisis inicial
  - 2.3.1 Normalización de datos
  - 2.3.2 Etiquetado y contextualización
  - 2.3.3 Análisis automatizado de muestras de malware
  - 2.3.4 Enriquecimiento de los indicadores de compromiso
  - 2.3.5 Resultado: un conjunto de datos procesado y confiable
- 2.4 Interpretación y difusión
  - 2.4.1 Análisis e interpretación
  - 2.4.2 Difusión
- 2.5 Retroalimentación y sostenibilidad del ciclo de vida
- 2.6 Resumen
3 Fuentes de inteligencia
- 3.1 Comprensión de las clasificaciones de las fuentes de inteligencia
  - 3.1.1 El papel de los tipos de fuentes en la inteligencia cibernética
  - 3.1.2 Modelo comparativo de OSINT, HUMINT y SIGINT
  - 3.1.3 Marco de confiabilidad de las fuentes
- 3.2 Inteligencia de fuentes abiertas
  - 3.2.1 El papel de OSINT en la inteligencia cibernética
  - 3.2.2 Blogs, informes de seguridad y portales de inteligencia sobre amenazas
  - 3.2.3 Redes sociales y fuentes comunitarias
  - 3.2.4 Datos de DNS y telemetría pasiva de Internet
- 3.3 Inteligencia humana
  - 3.3.1 El papel de HUMINT en la inteligencia cibernética
  - 3.3.2 Entrevistas a fuentes internas y flujo de información interna
  - 3.3.3 Informantes, investigadores y actividades en la web oscura
  - 3.3.4 Ingeniería social y análisis de las vulnerabilidades humanas
- 3.4 Inteligencia de señales
  - 3.4.1 El papel de la inteligencia de señales (SIGINT) en la inteligencia cibernética
  - 3.4.2 Inspección de paquetes y análisis de tráfico
  - 3.4.3 Señales de radio e inteligencia del entorno inalámbrico
  - 3.4.4 La estructura integrada de SIGINT, telemetría y OSINT
- 3.5 Integración y correlación de inteligencia de múltiples fuentes
  - 3.5.1 Centros de fusión de múltiples fuentes
  - 3.5.2 Marco de análisis de todas las fuentes
  - 3.5.3 Metodologías de confiabilidad y priorización de fuentes
- 3.6 Resumen
4 OSINT aplicado: herramientas, metodologías y disciplina operativa
- 4.1 Principios para una recopilación eficaz de OSINT
  - 4.1.1 Requisitos de inteligencia: enfoque específico
  - 4.1.2 Ética, marco legal y límites de autoridad
  - 4.1.3 Seguridad operativa
  - 4.1.4 Cadena de custodia
- 4.2 Estrategias pasivas de recopilación de OSINT
  - 4.2.1 Uso avanzado de operadores de motores de búsqueda
  - 4.2.2 Uso de «Google Dorks» y consultas avanzadas
  - 4.2.3 Extracción de metadatos
  - 4.2.4 Análisis pasivo de WHOIS, DNS y SSL/TLS
  - 4.2.5 Redes sociales y perfiles de usuario abiertos
- 4.3 Técnicas activas de OSINT
  - 4.3.1 Detección de puertos y servicios
  - 4.3.2 Enumeración de DNS
  - 4.3.3 Detección y escaneo web
- 4.4 Estructuración y almacenamiento de datos OSINT
  - 4.4.1 Normalización técnica de los datos de inteligencia
  - 4.4.2 Arquitectura de correlación
  - 4.4.3 Opciones de almacenamiento de datos
  - 4.4.4 Ejemplo: Normalización y puntuación automáticas de la cadena DNS-WHOIS-SSL para un dominio único
- 4.5 Resumen
5 Recolección avanzada de inteligencia de la Deep Web y la Dark Web
- 5.1 La arquitectura invisible del ecosistema oscuro
  - 5.1.1 Las diferencias operativas entre las capas superficial, profunda y oscura
  - 5.1.2 Métodos especiales utilizados por los actores maliciosos
  - 5.1.3 Técnicas para extraer inteligencia de cada capa
  - 5.1.4 Escenarios de ejemplo
  - 5.1.5 Tipología de los ecosistemas de la web oscura
- 5.2 Acceso a los servicios ocultos y gestión del anonimato
  - 5.2.1 Uso seguro de la infraestructura de Tor
  - 5.2.2 I2P y redes alternativas de privacidad
- 5.3 Resumen
6 Perfilado de actores maliciosos y mapeo de comportamientos
- 6.1 Introducción a la elaboración de perfiles de actores maliciosos
  - 6.1.1 Tipos de actores maliciosos
  - 6.1.2 Psicodinámica operativa
  - 6.1.3 Indicadores, contexto y la pregunta correcta
- 6.2 Tácticas, técnicas y procedimientos
  - 6.2.1 ¿Qué son las TTP?
  - 6.2.2 Análisis de TTP
- 6.3 Aplicación del marco MITRE ATT&CK
  - 6.3.1 Técnicas y subtécnicas
  - 6.3.2 Aplicaciones de MITRE ATT&CK
- 6.4 Uso del modelo del diamante en la elaboración de perfiles de amenazas
  - 6.4.1 Adversario: la entidad que lleva a cabo el ataque
  - 6.4.2 Capacidad: las herramientas, técnicas y conocimientos de que dispone el adversario
  - 6.4.3 Infraestructura: la columna vertebral invisible que sustenta el ataque
  - 6.4.4 Víctima: el objetivo del ataque y el reflejo del perfil
  - 6.4.5 Relaciones en el modelo del diamante
- 6.5 Indicadores de comportamiento y huellas digitales
  - 6.5.1 Reutilización de código
  - 6.5.2 Patrones lingüísticos
  - 6.5.3 Errores de OPSEC
  - 6.5.4 Correlación de rastros de comportamiento
- 6.6 Resumen
7 Integridad, adulteración y enriquecimiento en las fuentes de inteligencia sobre amenazas
- 7.1 La anatomía de una fuente de inteligencia sobre amenazas
  - 7.1.1 Estructuras de datos y modelos de contenido
  - 7.1.2 Protocolos y formatos estandarizados
  - 7.1.3 Modelos de distribución de fuentes
- 7.2 Técnicas de adulteración y manipulación de fuentes
  - 7.2.1 Objetivos de la manipulación avanzada
  - 7.2.2 Generación de indicadores de compromiso (IOC) falsos o manipulados
  - 7.2.3 Infraestructuras duplicadas, enmascaradas u orientadas al engaño
- 7.3 Detección de fuentes de inteligencia sobre amenazas de baja calidad o maliciosas
  - 7.3.1 Análisis de calidad estructural y estadístico
  - 7.3.2 Técnicas de validación heurística
  - 7.3.3 Modelado de la confiabilidad de las fuentes
- 7.4 Técnicas de enriquecimiento de datos
  - 7.4.1 Enriquecimiento contextual de los indicadores de compromiso (IOC)
  - 7.4.2 Correlación con el perfil de amenaza
  - 7.4.3 Puntuación de riesgos y amenazas
- 7.5 Resumen
8 Inteligencia forense centrada en la red
- 8.1 Introducción a la investigación forense digital centrada en la red
  - 8.1.1 El objetivo fundamental de la investigación forense digital centrada en la red
  - 8.1.2 Definición del alcance
  - 8.1.3 El valor del análisis forense en escenarios de CTI
- 8.2 Captura de tráfico y análisis de protocolos
  - 8.2.1 El poder del tráfico sin procesar
  - 8.2.2 Técnicas de Wireshark
  - 8.2.3 Disección de protocolos
  - 8.2.4 Ejemplo: tunelización DNS basada en IATI y análisis del ritmo C2 en múltiples etapas
- 8.3 Análisis a nivel de flujo
  - 8.3.1 Introducción a NetFlow e IPFIX
  - 8.3.2 Morfología de flujos
  - 8.3.3 Análisis de desviaciones rítmicas
  - 8.3.4 Análisis de la asimetría direccional
  - 8.3.5 Análisis de la entropía y la varianza de los flujos
  - 8.3.6 Ejemplo: deducción del comportamiento de los atacantes a partir de trazas matemáticas de flujos y análisis avanzado de la entropía de los flujos
- 8.4 Correlación de registros y metadatos de red
  - 8.4.1 Registros del firewall
  - 8.4.2 Registros de proxy
  - 8.4.3 Metadatos de DNS
  - 8.4.4 El poder de la correlación
- 8.5 Monitoreo de la infraestructura del atacante y el movimiento lateral
  - 8.5.1 Monitoreo basado en la intención
  - 8.5.2 Mapeo de pulsos C2
  - 8.5.3 Monitoreo de puntos de pivote y tráfico este-oeste
- 8.6 Resumen
9 Análisis forense basado en el host y telemetría de Windows
- 9.1 El papel del análisis forense basado en el host en la CTI
  - 9.1.1 El valor estratégico de la telemetría de puntos finales
  - 9.1.2 Los límites de la visibilidad de los puntos finales
- 9.2 Configuración avanzada de los registros de eventos y la política de auditoría
  - 9.2.1 Profundidad del registro de seguridad
  - 9.2.2 Diseño de una política de auditoría avanzada
  - 9.2.3 Monitoreo de comportamiento con el seguimiento de eventos de Windows
- 9.3 Análisis forense del Registro de Windows
  - 9.3.1 Comprensión del Registro
  - 9.3.2 Reconstrucción del comportamiento del usuario a través del Registro
  - 9.3.3 Visualización de los mecanismos de persistencia
  - 9.3.4 Ejemplo: Análisis del comportamiento de la persistencia de inicio basada en el Registro utilizando Python
  - 9.3.5 El valor forense de ShellBags, ShimCache y AmCache
- 9.4 Adquisición de memoria y análisis forense basado en la memoria
  - 9.4.1 ¿Por qué es fundamental la adquisición de memoria?
  - 9.4.2 Métodos de adquisición de memoria
  - 9.4.3 Detección de técnicas antiforenses en la memoria
  - 9.4.4 Marcos de trabajo para el análisis forense de memoria
- 9.5 Resumen
10 Integración de la CTI en la respuesta a incidentes
- 10.1 El papel de la CTI en la respuesta a incidentes
  - 10.1.1 La CTI en el ciclo completo de respuesta a incidentes
  - 10.1.2 Establecimiento de una arquitectura de defensa basada en inteligencia
  - 10.1.3 Mecanismos de validación de alertas orientados al contexto
  - 10.1.4 Integración de los hallazgos técnicos con el modelo de amenazas
- 10.2 Detección y validación con IOC e IOA
  - 10.2.1 El ciclo de vida de los IOC y su valor operativo
  - 10.2.2 Fortalecimiento de la lógica de detección de comportamiento basada en IOA
  - 10.2.3 Correlación multicapa con telemetría en tiempo real
  - 10.2.4 Técnicas de enriquecimiento de inteligencia para reducir los falsos positivos
- 10.3 Contextualización de amenazas y análisis de impacto
  - 10.3.1 Interpretación de la intención del adversario
  - 10.3.2 Análisis del alcance del impacto y cálculo del potencial de propagación
  - 10.3.3 Determinación de la prioridad operativa según la CTI
  - 10.3.4 Ejemplos: contextualización de amenazas en la práctica
- 10.4 Resumen
11 Búsqueda proactiva de amenazas basada en inteligencia
- 11.1 ¿Qué es la búsqueda proactiva de amenazas?
  - 11.1.1 Importancia de la búsqueda proactiva de amenazas
  - 11.1.2 Los límites de la seguridad reactiva y la fatiga por alertas
  - 11.1.3 Componentes fundamentales de la búsqueda proactiva
  - 11.1.4 Enfoque basado en hipótesis
  - 11.1.5 Cómo llenar los vacíos de información: el papel del cazador
- 11.2 Metodologías de búsqueda basadas en inteligencia
  - 11.2.1 Flujo de datos desde la CTI hasta el cazador operativo
  - 11.2.2 Modelado de adversarios: perfiles de APT, ransomware y amenazas internas
  - 11.2.3 Enriquecimiento de la CTI
  - 11.2.4 Priorización de objetivos mediante el análisis del panorama de amenazas
- 11.3 Resumen
12 Plataformas de automatización e inteligencia de amenazas
- 12.1 Introducción a la automatización de la CTI
  - 12.1.1 Las limitaciones de los procesos manuales de CTI
  - 12.1.2 El papel de la automatización en el ciclo de vida de la CTI
- 12.2 Visión general de las plataformas de inteligencia sobre amenazas
  - 12.2.1 ¿Qué es una TIP y para qué sirve?
  - 12.2.2 Componentes principales y estructura arquitectónica
- 12.3 Uso de MISP para el intercambio de información sobre amenazas basado en la comunidad
  - 12.3.1 Comprensión del papel de MISP en la CTI
  - 12.3.2 La estructura fundamental de la arquitectura de MISP
  - 12.3.3 Gestión de fuentes y eventos
  - 12.3.4 Atributos, etiquetado y taxonomías
- 12.4 Resumen
A Bibliografía
B El autor
Índice

Cyber Threat Intelligence

A strong cybersecurity program needs to stay informed. With this all-in-one guide, master cyber threat intelligence (CTI) techniques and understand its practical applications. Walk through the intelligence lifecycle, and then get up to speed on the latest tools and technologies for intelligence gathering, adversary profiling, network and host-based forensics, threat hunting, and more. Follow practical examples that showcase key CTI strategies in modern security operations.

Understand the cyber intelligence lifecycle and get to know your sources: OSINT, HUMINT, and SIGINT
Learn about threat models and walk through forensic analysis of network data and host systems to detect malicious behavior
Integrate CTI into incident response, explore threat hunting, and see how automation can improve your CTI workflows

You'll learn about:

Frameworks and Fundamentals:
See what cyber threat intelligence is and how it works in the real world. Understand the full intelligence lifecycle, from planning to feedback, and the different sources of intelligence, from OSINT to SIGINT.
Threat Modeling, Analysis, and Response:
Learn about CTI tools and techniques. Apply the MITRE ATT&CK framework to model threats, turn network and host data into actionable intelligence, interpret threat detection outputs, assess your automation options including tools like MISP, and more.
Best Practices and Case Studies:
Explore real-world workflows and practical examples. See how intelligence supports incident response, threat hunting, and automation, and learn proven methods for handling feed quality, enrichment, and operational integration.

Key Highlights:

Cyber intelligence lifecycle
Open-source intelligence (OSINT)
Human intelligence (HUMINT)
Signals intelligence (SIGINT)
Intelligence gathering
Adversary profiling
Threat intelligence feed integrity
Network forensics
Host-based forensics
Incident response
Threat hunting
Automation

View Full Table of Contents

Preface
- Who This Book Is For
- How This Book Is Organized
- Acknowledgments
- Conclusion
1 Foundations of Cyber Threat Intelligence
- 1.1 What Is Cyber Threat Intelligence?
- 1.2 The Strategic Context and Importance of CTI
  - 1.2.1 Strategic Value Dimensions
  - 1.2.2 Considerations at the Strategic Level
  - 1.2.3 Governance and Operating Models
  - 1.2.4 Intelligence Requirement Management
- 1.3 The Evolution of Threat Intelligence
  - 1.3.1 The Theoretical Foundations of Classical Military Intelligence
  - 1.3.2 The Beginning of the Cyber Age and the APT Concept
  - 1.3.3 The Threat Intelligence Cycle
  - 1.3.4 Milestones Through Case Studies
- 1.4 Types of Intelligence in Cybersecurity
- 1.5 Core Concepts and Conceptual Models
  - 1.5.1 Important Terminology
  - 1.5.2 Threat Actors and Their Motivations
  - 1.5.3 Threat Actors and the Intelligence Cycle
  - 1.5.4 TTPs and Detection Engineering
- 1.6 Summary
2 Intelligence Lifecycle in Practice
- 2.1 Planning and Direction Phase
  - 2.1.1 Components of the Planning Phase
  - 2.1.2 Deepening the Conceptual Framework: PIRs, SIRs, and EEIs
  - 2.1.3 References to Standards and Frameworks
  - 2.1.4 Analytical Biases and Bias Management
  - 2.1.5 Intelligence Governance Framework
  - 2.1.6 Stakeholder Analysis and Communication
  - 2.1.7 Threat Intelligence Sharing Ecosystem
  - 2.1.8 Risk Tolerance and Corporate Business Objectives
- 2.2 Collection: Active and Passive Techniques
  - 2.2.1 Strategic Importance of the Collection Phase
  - 2.2.2 Passive Collection Techniques
  - 2.2.3 Active Collection Techniques
- 2.3 Processing and Initial Analysis
  - 2.3.1 Data Normalization
  - 2.3.2 Tagging and Contextualization
  - 2.3.3 Automated Analysis of Malware Samples
  - 2.3.4 Enriching Indicators of Compromise
  - 2.3.5 Output: A Processed and Reliable Dataset
- 2.4 Interpretation and Dissemination
  - 2.4.1 Analysis and Interpretation
  - 2.4.2 Dissemination
- 2.5 Feedback and the Sustainability of the Lifecycle
- 2.6 Summary
3 Intelligence Sources
- 3.1 Understanding Intelligence Source Classifications
  - 3.1.1 The Role of Source Types in Cyber Intelligence
  - 3.1.2 Comparative Model of OSINT, HUMINT, and SIGINT
  - 3.1.3 Source Reliability Framework
- 3.2 Open-Source Intelligence
  - 3.2.1 The Role of OSINT in Cyber Intelligence
  - 3.2.2 Blogs, Security Reports, and Threat Intelligence Portals
  - 3.2.3 Social Media and Community-Based Sources
  - 3.2.4 DNS Data and Passive Internet Telemetry
- 3.3 Human Intelligence
  - 3.3.1 The Role of HUMINT in Cyber Intelligence
  - 3.3.2 Internal Source Interviews and Internal Information Flow
  - 3.3.3 Informants, Researchers, and Dark Web Engagements
  - 3.3.4 Social Engineering and the Analysis of Human Vulnerabilities
- 3.4 Signals Intelligence
  - 3.4.1 The Role of SIGINT in Cyber Intelligence
  - 3.4.2 Packet Inspection and Traffic Analysis
  - 3.4.3 Radio Signals and Wireless Environment Intelligence
  - 3.4.4 The Integrated Structure of SIGINT, Telemetry, and OSINT
- 3.5 Integrating and Correlating Multisource Intelligence
  - 3.5.1 Multisource Fusion Centers
  - 3.5.2 All-Source Analysis Framework
  - 3.5.3 Source Reliability and Prioritization Methodologies
- 3.6 Summary
4 Applied OSINT: Tools, Methodologies, and Operational Discipline
- 4.1 Principles of Effective OSINT Collection
  - 4.1.1 Intelligence Requirement: Focused Approach
  - 4.1.2 Ethics, Legal Framework, and Authority Boundaries
  - 4.1.3 Operational Security
  - 4.1.4 Chain of Custody
- 4.2 Passive OSINT Collection Strategies
  - 4.2.1 Advanced Use of Search Engine Operators
  - 4.2.2 Using Google Dorks and Advanced Queries
  - 4.2.3 Metadata Extraction
  - 4.2.4 WHOIS, DNS, and SSL/TLS Passive Analysis
  - 4.2.5 Social Media and Open User Profiles
- 4.3 Active OSINT Techniques
  - 4.3.1 Port and Service Discovery
  - 4.3.2 DNS Enumeration
  - 4.3.3 Web Discovery and Scanning
- 4.4 OSINT Data Structuring and Storage
  - 4.4.1 Technical Normalization of Intelligence Data
  - 4.4.2 Correlation Architecture
  - 4.4.3 Data Storage Options
  - 4.4.4 Example: Automatic Normalization and Scoring of the DNS-WHOIS-SSL Chain for a Single Domain
- 4.5 Summary
5 Advanced Intelligence Collection from the Deep and Dark Web
- 5.1 The Invisible Architecture of the Dark Ecosystem
  - 5.1.1 The Operational Differences of the Surface, Deep, and Dark Layers
  - 5.1.2 Special Methods Used by Threat Actors
  - 5.1.3 Techniques for Extracting Intelligence from Each Layer
  - 5.1.4 Example Scenarios
  - 5.1.5 Typology of Dark Web Ecosystems
- 5.2 Accessing Hidden Services and Managing Anonymity
  - 5.2.1 Secure Use of the Tor Infrastructure
  - 5.2.2 I2P and Alternative Privacy Networks
- 5.3 Summary
6 Threat Actor Profiling and Behavioral Mapping
- 6.1 Introduction to Threat Actor Profiling
  - 6.1.1 Types of Threat Actors
  - 6.1.2 Operational Psychodynamics
  - 6.1.3 Indicators, Context, and the Right Question
- 6.2 Tactics, Techniques, and Procedures
  - 6.2.1 What Are TTPs?
  - 6.2.2 TTP Analysis
- 6.3 Applying the MITRE ATT&CK Framework
  - 6.3.1 Techniques and Subtechniques
  - 6.3.2 Applications of MITRE ATT&CK
- 6.4 Using the Diamond Model in Threat Profiling
  - 6.4.1 Adversary: The Entity Conducting the Attack
  - 6.4.2 Capability: The Tools, Techniques, and Knowledge in the Adversary’s Hands
  - 6.4.3 Infrastructure: The Invisible Backbone Carrying the Attack
  - 6.4.4 Victim: The Target of the Attack and the Reflection of the Profile
  - 6.4.5 Diamond Model Relationships
- 6.5 Behavioral Indicators and Fingerprints
  - 6.5.1 Code Reuse
  - 6.5.2 Linguistic Patterns
  - 6.5.3 OPSEC Errors
  - 6.5.4 Correlation of Behavioral Traces
- 6.6 Summary
7 Integrity, Poisoning, and Enrichment in Threat Intelligence Feeds
- 7.1 The Anatomy of a Threat Intelligence Feed
  - 7.1.1 Data Structures and Content Models
  - 7.1.2 Standardized Protocols and Formats
  - 7.1.3 Feed Distribution Models
- 7.2 Feed Poisoning and Manipulation Techniques
  - 7.2.1 Objectives of Advanced Manipulation
  - 7.2.2 Generation of Fake or Manipulated IOCs
  - 7.2.3 Mirrored, Masked, or Deception-Oriented Infrastructures
- 7.3 Detecting Low-Quality or Malicious Threat Intelligence Feeds
  - 7.3.1 Structural and Statistical Quality Analysis
  - 7.3.2 Heuristic Validation Techniques
  - 7.3.3 Source Reliability Modeling
- 7.4 Data Enrichment Techniques
  - 7.4.1 IOC Contextual Enrichment
  - 7.4.2 Correlating with the Threat Profile
  - 7.4.3 Risk and Threat Scoring
- 7.5 Summary
8 Network-Centric Forensic Intelligence
- 8.1 Introduction to Network-Centric Digital Forensics
  - 8.1.1 The Fundamental Objective of Network Digital Forensics
  - 8.1.2 Defining the Scope
  - 8.1.3 The Value of Forensic Analysis in CTI Scenarios
- 8.2 Traffic Capture and Protocol Analysis
  - 8.2.1 The Power of Raw Traffic
  - 8.2.2 Wireshark Techniques
  - 8.2.3 Protocol Dissection
  - 8.2.4 Example: IATI-Based DNS Tunneling and Multistage C2 Rhythm Analysis
- 8.3 Flow-Level Analysis
  - 8.3.1 Introducing NetFlow and IPFIX
  - 8.3.2 Flow Morphology
  - 8.3.3 Rhythmic Deviation Analysis
  - 8.3.4 Directional Asymmetry Analysis
  - 8.3.5 Flow Entropy and Variance Analysis
  - 8.3.6 Example: Deriving Attacker Behavior from Mathematical Flow Traces and Advanced Flow Entropy Analysis
- 8.4 Correlation of Logs and Network Metadata
  - 8.4.1 Firewall Logs
  - 8.4.2 Proxy Logs
  - 8.4.3 DNS Metadata
  - 8.4.4 The Power of Correlation
- 8.5 Monitoring Attacker Infrastructure and Lateral Movement
  - 8.5.1 Intent-Based Monitoring
  - 8.5.2 C2 Pulse Mapping
  - 8.5.3 Pivot Point and East-West Traffic Monitoring
- 8.6 Summary
9 Host-Based Forensic Analysis and Windows Telemetry
- 9.1 Role of Host-Based Forensics in CTI
  - 9.1.1 The Strategic Value of Endpoint Telemetry
  - 9.1.2 The Limits of Endpoint Visibility
- 9.2 Advanced Configuration of Event Logs and Audit Policy
  - 9.2.1 Depth of the Security Log
  - 9.2.2 Design of an Advanced Audit Policy
  - 9.2.3 Behavioral Monitoring with Event Tracing for Windows
- 9.3 Windows Registry Forensic Analysis
  - 9.3.1 Understanding the Registry
  - 9.3.2 Reconstructing User Behavior Through the Registry
  - 9.3.3 Making Persistence Mechanisms Visible
  - 9.3.4 Example: Behavioral Analysis of Registry-Based Startup Persistence Using Python
  - 9.3.5 The Forensic Value of ShellBags, ShimCache, and AmCache
- 9.4 Memory Acquisition and Memory-Based Forensic Analysis
  - 9.4.1 Why Is Memory Acquisition Critical?
  - 9.4.2 Memory Acquisition Methods
  - 9.4.3 Detecting Anti-Forensic Techniques in Memory
  - 9.4.4 Memory Forensics Frameworks
- 9.5 Summary
10 Integrating CTI into Incident Response
- 10.1 The Role of CTI in Incident Response
  - 10.1.1 CTI in the Complete Incident Response Cycle
  - 10.1.2 Establishing an Intelligence-Driven Defense Architecture
  - 10.1.3 Context-Oriented Alert Validation Mechanisms
  - 10.1.4 Integrating Technical Findings with the Threat Model
- 10.2 Detection and Validation with IOCs and IOAs
  - 10.2.1 The Lifecycle of IOCs and Their Operational Value
  - 10.2.2 Strengthening IOA-Based Behavioral Detection Logic
  - 10.2.3 Multilayer Correlation with Live Telemetry
  - 10.2.4 Intelligence Enrichment Techniques for Reducing False Positives
- 10.3 Contextualization of Threats and Impact Analysis
  - 10.3.1 Interpreting Adversary Intent
  - 10.3.2 Impact Scope Analysis and Calculation of Propagation Potential
  - 10.3.3 Determining Operational Priority According to CTI
  - 10.3.4 Examples: Threat Contextualization in Practice
- 10.4 Summary
11 Intelligence-Driven Proactive Threat Hunting
- 11.1 What Is Threat Hunting?
  - 11.1.1 Importance of Threat Hunting
  - 11.1.2 The Limits of Reactive Security and Alert Fatigue
  - 11.1.3 Core Components of Proactive Hunting
  - 11.1.4 Hypothesis-Driven Approach
  - 11.1.5 Filling Information Gaps: The Role of the Hunter
- 11.2 Intelligence-Driven Hunting Methodologies
  - 11.2.1 Data Flow from CTI to the Operational Hunter
  - 11.2.2 Adversary Modeling: APT, Ransomware, and Insider Threat Profiles
  - 11.2.3 CTI Enrichment
  - 11.2.4 Target Prioritization Through Threat Landscape Analysis
- 11.3 Summary
12 Automation and Threat Intelligence Platforms
- 12.1 Introduction to CTI Automation
  - 12.1.1 The Limitations of Manual CTI Processes
  - 12.1.2 The Role of Automation in the CTI Lifecycle
- 12.2 Overview of Threat Intelligence Platforms
  - 12.2.1 What Is a TIP and What Does It Do?
  - 12.2.2 Core Components and Architectural Structure
- 12.3 Using MISP for Community-Based Threat Sharing
  - 12.3.1 Understanding the Role of MISP in CTI
  - 12.3.2 The Fundamental Structure of the MISP Architecture
  - 12.3.3 Feed and Event Management
  - 12.3.4 Attributes, Tagging, and Taxonomies
- 12.4 Summary
A Bibliography
B The Author
Index

ℹ️ ¿Cómo adquirir este libro?

Este producto tiene un precio especial bajo consulta. Puedes iniciar tu pedido o aclarar cualquier duda en el botón Consultar precio de la página.

También hemos preparado una guía paso a paso para explicarte cómo solicitar tu cotización fácilmente.

Ver paso a paso aquí →

Descargo de responsabilidad

SAP, otros productos SAP y servicios mencionados aquí así como sus respectivos logos son marca registrada de SAP SE (o una compañía afiliada de SAP) en Alemania y otros países. Nuestra compañía no está afiliada con SAP SE ni con ninguna de sus compañías afiliadas incluyendo pero no limitada a: Sybase, Business Objects, Hybris, Ariba y SuccessFactors. Todos los otros nombres, marcas, logos, etc. son marcas o servicios registrados de sus respectivos propietarios.

Inicio > Libros SAP > Libros Multilingüe > Inteligencia sobre amenazas cibernéticas - La guía completa

Inteligencia sobre amenazas cibernéticas - La guía completa

Name: Inteligencia sobre amenazas cibernéticas - La guía completa
Brand: SAP
SKU: BOOK-SAPPRESS-EBOOK-2026-9781493228140
Availability: InStock

Garantía

Recibe el producto que esperabas o te devolvemos tu dinero

¿Desea ver una muestra del curso o libro?

Necesita una muestra del curso o libro, solicítela en el chat de abajo y se la brindamos con gusto.

1 cuota de $0.00 USD sin intereses		Total $0.00 USD
2 cuotas de $0.00 USD sin intereses		Total $0.00 USD
3 cuotas de $0.00 USD sin intereses		Total $0.00 USD
4 cuotas de $0.00 USD sin intereses		Total $0.00 USD
5 cuotas de $0.00 USD sin intereses		Total $0.00 USD
6 cuotas de $0.00 USD sin intereses		Total $0.00 USD