威胁情报的落地
本篇主要记录威胁情报落地相关的内容,从威胁情报的实际作用环节开始。
- TTPs树结合CEP引擎可以从行为上判断是否是被标记的攻击者或相近攻击者
- TTPs情报可以给红队当做指导手册来模拟真实风险下的真实敌人
- 特定类型的pDNS、IoC标记可以融入告警中为事件提供背景支撑
- 漏洞情报中的触发点描述可以结合RASP等安全组件采集的数据捕获一些在野的利用并同步到waf(类似于切面安全)
作用环节
威胁情报的实际应用环节:
- TTPs结合复杂事物处理(CEP)引擎从行为上判断是否被是被标记的攻击者或相近攻击者[1]
- 简单讲是从数据中进行模式匹配,然后来撞IOC库
- TTPs情报可以给红队当做指导手册来模拟真实风险下的真实敌人[1]
- 组合战术、技术和流程,然后来模拟不同的攻击手法,给红队模拟真实的敌人
- 将特定类型的pDNS、IoC标记可以融入告警中,为事件提供背景支撑[1]
- 撞IoC库,提供情报支撑
- 漏洞情报中的触发点描述可以结合RASP等安全组件采集的数据捕获一些在野的利用并同步到waf(类似于切面安全)[1]
- 数据关联、交换
References
[1] 从现状看威胁情报发展趋势,e1knot,https://zhuanlan.zhihu.com/p/183993203