告警关联分析与威胁情报（告警关联分析与威胁情报的区别）

本篇文章给大家谈谈告警关联分析与威胁情报，以及告警关联分析与威胁情报的区别对应的知识点，希望对各位有所帮助，不要忘了收藏本站喔。 今天给各位分享告警关联分析与威胁情报的知识，其中也会对告警关联分析与威胁情报的区别进行解释，如果能碰巧解决你现在面临的问题，别忘了关注本站，现在开始吧！

本文目录一览：

• 1、威胁情报杂谈——IOC情报的使用
• 2、常见的威胁情报协议是什么它们有什么区别
• 3、青藤XDR深度检测服务有了解的吗？
• 4、威胁情报是什么
• 5、浅谈国内威胁情报的发展
• 6、分享几个开源的威胁情报和样本分析平台

威胁情报杂谈——IOC情报的使用

当前国内市场上，威胁情报最普遍的使用场景，就是利用IOC情报（ Indicators of Compromise）进行日志检测，发现内部被攻陷的主机等重要风险。这种情况下可以发现传统安全产品无法发现的很多威胁，并且大多是成功的攻击，对于安全运营有较大的帮助。这种场景看似简单，就是日志数据和情报之间的匹配，其实并不是如此，个人在这几年的工作中，对这个场景的认识有了多次转变，现今看来可以小结为3个层次。

最初的时候，认为IOC情报匹配本身并不复杂，核心的问题是情报本身的质量（相关性、及时性、准确性、可指导响应的上下文），特别是上下文问题，非常重要，除了一般会考虑到的风险等级、可信度等信息外，还需要提供相关攻击团伙和家族的攻击目的、危害、技战术等相关的内容，提供相关的远控端是否活跃，是否已经被安全厂商接管等信息，以此响应团队可以判定是否需要响应，哪个事件的优先级更高等。后续发现对于很多团队缺乏事件响应经验，理想情况下情报上下文最好能提供不同威胁的响应参考策略，这部分似乎也可以归入到上下文中。这个层次暂且称其为简单匹配。

后来逐步发现IOC的匹配问题并不单纯，针对不同的日志类型需要有专门的优化。典型的例子就是DNS日志或者防火墙的五元组日志，下面以DNS日志为例进行说明。DNS日志是进行IOC匹配比较理想的类型，因为有些远控服务器当时可能不能解析，因此不会产生其它类型的应用层日志，但通过DNS活动就可以推断对应的主机上已经运行了一个木马或者蠕虫病毒，甚或是APT攻击。这个远控的IOC形式可能是一个域名，这种情况就比较简单；但如果是一个URL，这种情况下如何匹配就是一个相对复杂的事情，因为单纯的DNS数据是不能精确判别是否出现失陷的，往往要引入一些参考的数据类别，并考虑企业对哪些威胁类型更加关注，这种情况下需要有更加复杂的匹配机制。这个层次可以称其为高级匹配。

经过前两个阶段，对于大多数组织应该可以较好的使用威胁情报做检测了。但从更高要求看，可能还会出现一些需要解决的问题，如日志中显示的域名没有直接的威胁情报命中，但是域名所在的主机其实已经明确是属于某个网络犯罪组织的，这种情况下如何产生报警；再如对一个邮件做详细的分析判定，是需要从多个维度进行分析，其中会使用多个类型的威胁情报。解决这些问题不但需要有威胁情报及网络基础数据，还需要有相应的分析判定模型，这部分可以说在编排和自动化范围内（SOAR），如果还需要有一个名字，不知智能化匹配是否合适。

简单匹配、高级匹配、智能化匹配，这是基于过去对IOC使用情况思考的一个简单总结。不能确定是否还会有更多的层次，但有一点可以肯定，随着对威胁情报IOC使用的不断探索，威胁情报在检测过程的作用一定会越来越大。而事件响应分析、安全预警上情报的使用大致也有同样的过程，可以在后续找机会探讨，而下篇文章更多要聊聊威胁情报IOC的评估。

常见的威胁情报协议是什么它们有什么区别

2013年5月告警关联分析与威胁情报，Gartner提出威胁情报的概念。威胁情报是一种基于证据的知识，包括上下文、机制、指标、含义以及能够执行的建议。威胁情报描述告警关联分析与威胁情报了对资产已有或将出现的威胁或危害，并可用于告知决策者对该威胁或危害做出响应提供信息。威胁情报是对对手的分析，分析其能力、动机和目标。而网络威胁情报是对对手如何使用网络来实现目标的分析，应用结构化的分析过程，来了解攻击及其背后的对手。
机读情报（Machine-Readable Threat Intelligence,MRTI ）
机读情报即机器可读情报，通过自动化方式从网络收集数据提供给企业。机读情报的优势在于，能够收集足够的数据，确保所有主要的威胁能够得到识别，自动筛选无用或重复数据，无需耗费人力，提供当前及历史变量数据威胁，同时将数据进行格式化，便于机器操作，人工也能轻松进行上下文分析、关联及有限排序。机读情报能够允许SIEM或者其告警关联分析与威胁情报他安全控制设备，根据当前相关威胁形势信息作出安全运营决策。
人读情报（People-Readable Threat Intelligence,PRTI）
人读情报是高度浓缩的，主要由安全项、网络实体以及新兴的黑客组织、攻击等组成，主要解决解决的是信息爆炸的问题，提供针对企业或者用户个性化的情报。同时，人读情报也包含很多机读情报。人读情报格式广泛，安全公告、漏洞预警、病毒/APT分析等都属于该类别。
“2 情报共享交换标准
CybOX（Cyber Observable eXpression）
CybOX即网络可观测事件表达，是一种用于管理网络观测到的交流和报告的标准化语言，主要用于威胁情报词汇标准。它是由美国非营利性组织MITRE 基于现实观察到的对手技战术知识库开发的框架。CybOX提供了一套标准且支持扩展的语法，用来描述所有可被计算机系统和操作上观察到的内容。可观察的对象可以是动态的事件，也可以是静态的资产，如HTTP会话、X509证书、文件、系统配置项等。

青藤XDR深度检测服务有了解的吗？

XDR是一个统一的安全事件检测和响应平台，可以自动化地从多个安全软件收集数据并进行关联分析，XDR通过将多个安全产品整合到一个统一的安全事件检测和响应平台，从而为用户提供更高价值。青藤提供的XDR威胁检测分析服务是由安全专家协助客户远程或现场通过主机结合流量设备的方式分析产品，结合最新威胁情报和业务应用情况，发现客户环境内的失陷主机、异常主机、违规操作等威胁行为活动，确认攻击属性、受影响范围，进行溯源分析，并给出专业的处置解决建议。

威胁情报是什么

情报(intelligence)一词英文的原意是“瞭解的能力”(the Faculty of Understanding)，从传统情报机构的立场上，情报的本质则是“减少冲突的不确定性”。对情报的重视古已有之，《孙子兵法》中所说“知己知彼，百战不殆”讲的就是情报的重要性，情报就能帮助你做到知彼。在网络空间的战斗中，情报同样有着至关重要的地位：

知己：更丰富的组织环境数据，也就是这几年经常提到的环境感知能力。通过“知己”，我们可以快速的排查误报，进行异常检测，支撑事件响应活动，在这里不再多言。知彼：关于攻击对手自身、使用工具及相关技术的信息，即威胁情报，可以应用这些数据来发现恶意活动，以至定位到具体的组织或个人。

作为一种攻防间的对抗活动，威胁情报工作其实从开始的时候就存在了：回想一下IPS或者AV的签名，其中很大一部分不就是针对攻击者使用的攻击工具的吗，IP及域名的信誉库也是同样。

威胁情报，是面向新的威胁形式，防御思路从过去的基于漏洞为中心的方法，进化成基于威胁为中心的方法的必然结果，它和大数据安全分析、基于攻击链的纵深防御等思想正在形成新一代的防御体系的基石。

近年来，国内外已经出现了多家做威胁情报业务的公司，列举一些比较有名的：

国外：

SecureWorks

VirusTotal

ThreatGrid

Caspida

AlienValut

CrowdStrike

LookingGlass

iSight Partners

ThreatStream

ThreatConnect

Ikanow

Sqrrl

Endgame

Lastline

FireEye

iDefense

国内：

ThreatBook

Virusbook

浅谈国内威胁情报的发展

这两年去过RSA的人，普遍有一个感觉：威胁情报的概念在美国已经很少提了。这是一件好事，因为其市场威胁情报已经无所不在，无需再多谈，大家更关心的是基于威胁情报发展出的新产品、怎么解决具体问题；这也是一件坏事，因为它意味着国内安全产业，在网安应用的AI技术（UEBA为代表）、安全狩猎之外，又一个领域被抛在了后面，虽然起步的时间看似差的不远。

从个人的经历看，国内威胁情报技术发展落后主要有3个方面的原因：

作为公开文章，似乎前两个原因不适合多谈，就把焦点放到最后一个问题上。

在一个安全产品中复合多种的安全技术/能力，是10年前就开始的一个趋势，SWG、NGFW、EPP都是其中典型的代表，以场景为主线，将解决一个场景下问题需要的安全能力统一在一个产品中提供，统一配置、统一管理，减少了安全建设成本也简化了运营的难度。典型的是有了NGFW之后，在网络出口处串糖葫芦似的部署多个产品的情况应该少多了。

安全建设的重心从防御转向到检测、响应的过程中，逐步明确了其中的需求：运营过程需要快速进行报警确认、了解攻击危害程度，进行攻击链和影响面分析，并执行遏制或清除活动。这其中需要的能力或技术就包含：威胁情报、事件管理、事件编排、自动化分析和自动化响应等，它们都是安全运营中需要的内容，单纯某一种能力不能帮助用户完成安全闭环，因此需要将这些能力叠加在一起，形成一个新的产品，这类产品在Gartner的报告中被命名为SOAR（Security Orchestration, Automation and Response ）。

SOAR产品也许有很多的功能，但个人认为其核心竞争力应该是分4部分：

简单说，SOAR是通过内置多种不同类型威胁情报弥补安全运营团队的这方面的不足，通过编排或者说Playbook弥补安全运营团队分析、响应经验的缺失，最后利用整合能力提供的自动化解决重复劳动和效率的问题。

这样的产品已经不是传统意义上的一个安全产品团队可以完成的了。要实现这样的产品，帮助用户解决最大的运营问题，是需要安全公司重新思考如何开发一个产品的。从技术上讲，这种形势应该对综合性的大公司比较有利，但从实践看，国际上相似的产品更多是由创业公司带来的，其中只有Fireeye算是一个特例。因此面对这种新的产品需求，在安全能力、组织形式、开发流程上具有不小的挑战，最终那类公司能突围而出，尚无答案。

“看中流击水，浪遏飞舟”。

分享几个开源的威胁情报和样本分析平台

微步在线 https://x.threatbook.cn/
沙箱地址 https://s.threatbook.cn/

天际友盟 https://redqueen.tj-un.com/IntelHome.html
启明星辰 https://www.venuseye.com.cn/

VirusTotal威胁情报中心 https://www.virustotal.com

在线沙箱AnyRun https://app.any.run/

IBM威胁情报中心 https://exchange.xforce.ibmcloud.com/

Hybrid-Analysis分析平台 https://www.hybrid-analysis.com/

流量分析平台Packettotal https://packettotal.com/

URL查询网站： https://urlscan.io/

一类非安全类公司的信息安全主管、网络运维人员等会通过上面这些的威胁情报平台查询威胁情报数据来判断企业是否存在安全风险和安全隐患，比方：企业IT运维人员发现了一台服务器在不断对外面某个IP地址发送相应的数据，并且监控到了这个外部IP地址，然而企业IT运维人员并不能确认这个IP是否为恶意的服务器地址，就需要能过一些威胁平台网站进行查询，获到到一些参考和帮助，如果找到了相应的样本，还可以提供到这些平台，进行进一步的分析和处理。

现在各大厂商都在建设自己的威胁情报平台，有些是公开的，有些是收费查询的，威胁情报的好与坏，在未来安全应用中起着非常重要的作用，熟练使用各种威胁情报系统与平台也是各个企业安全运维人员必备的知识与技能，实时有效准确的威胁情报数据成为了这些安全企业的核心资产，如何能够获取更多有效的威胁情报数据和准确应用这些威胁情报数据成为了各安全企业研究的重点。 关于告警关联分析与威胁情报和告警关联分析与威胁情报的区别的介绍到此就结束了，不知道你从中找到你需要的信息了吗 ？如果你还想了解更多这方面的信息，记得收藏关注本站。 告警关联分析与威胁情报的介绍就聊到这里吧，感谢你花时间阅读本站内容，更多关于告警关联分析与威胁情报的区别、告警关联分析与威胁情报的信息别忘了在本站进行查找喔。