网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

机读情报可有效解决跨组织、跨设备、跨厂家的快速协同联防，在国外已经认为是安全防御发展的趋势，美国甚至专门成立了相关国家级组织、颁布了相关法令来改进其国家级基础设施防护

3.

威胁情报平台

3.威胁情报平台

除了可见性，威胁情报平台主要功能：

?

?

?

?

?

?CollectCorrelateCategorizeIntegrateActionShare

3.威胁情报平台

?Collect

?从多个数据源搜集和正规化数据，而且比普通的SIEM具有更强的异构数据处理能力，除了结构化的日志、告警数据，还可以分析非结构化的数据（Web pages, blogs, documents and social）

3.威胁情报平台

?Correlate

?根据数据内容将多个数据关联起来：A single email address, URL, domain, IP address or file can be the catalyst that connects together all of the existing information

3.威胁情报平台

?Categorize

?数据搜集和关联好之后，威胁情报平台就可以就可以进行分类，并开发更多的相关信息，形成威胁情报。例如：

an email address via the TIP‘s ability to perform relationship modeling，add：?Who has sent email to it

?Who has received email from this address

?Which domains this email has been used to register

?Which IP addresses are known to resolve via DNS to those domains?Which ISP details registered these domains

reveals further relationships, such as:

?Which other domains use the same DNS resolver

?Which internal hosts have tried to connect to this DNS resolver

?What other DNS host/domain name requests have been attempted to this

3.威胁情报平台

?Integrate

?对搜集的数据，用更多其他工具分析，并集成分析结果?Forensic tools搜集更多证据

?Intrusion detection system (IDS)/intrusion prevention system (IPS) 对当前威胁相关actor是否存在其他攻击?IP/host name/URL/filename reputation feeds for IPS, Web application firewall (WAF), next-generation firewall (NGFW) and secure Web gateway (SWG) 能够block其他用户访问危险目标

?SIEM加入到SIEM的watchlists搜集更多威胁相关actor的安全时间

3.威胁情报平台

?Action

?触发动作，自动响应

?

?

?

?Push notification of required actions to an analyst Disseminate content to other usersUpdate the IDS/IPSCreate Yara rules for use in other tools for malware detection.

?Generate imminent warning advice

3.威胁情报平台

?Share

?也是威胁情报平台的一

个特点，在信任圈

“circles of trust”中共享

威胁情报

4.如何描述威胁情报？

安全事件调查人员在安全事件应急响应过程中面临的其中一个挑战是，找一个有效的方法把所有调查过程中的信息组织起来。

这些信息包括攻击者的活动、所用的工具、恶意软件、或者其他的攻击指示器（indicators of compromise），简称IOC。

4.如何描述威胁情报？

以前的描述方式：

?IDMEF（The Intrusion Detection Message Exchange Format）rfc4765

define data formats and exchange procedures for sharing

information of interest to intrusion detection and response systems and to the management systems that may need to interact with them。

?The Incident Object Description Exchange Format rfc5070?ClamAV 特征

Exploit.WMF.Gen-

1:0:0:010009000003521f0000????????????0000??00000026名字：目标类型：偏移：特征

4.如何描述威胁情报？

最常见的IOC用例：

?恶意软件/工具型：这种类型的IOC可用于发现某些已知类型的恶意软件或恶意工具，通常通过查找二进制文件或其文件属性，或其执行时创建的特征，例如一些预读文件、注册表键值等。

?方法论型：不同于上一种可直接识别恶意软件/工具，这种类型的IOC为了生成一些调查的线索，查找注册表中所有“Run”键值内容结尾为“.jpg”，这个IOC代表了一种不正常的情况，在安全调查中就指示出很可能是一个已被恶意利用了的证据。