跳转至

威胁情报的落地

本篇主要记录威胁情报落地相关的内容,从威胁情报的实际作用环节开始。

  • TTPs树结合CEP引擎可以从行为上判断是否是被标记的攻击者或相近攻击者
  • TTPs情报可以给红队当做指导手册来模拟真实风险下的真实敌人
  • 特定类型的pDNS、IoC标记可以融入告警中为事件提供背景支撑
  • 漏洞情报中的触发点描述可以结合RASP等安全组件采集的数据捕获一些在野的利用并同步到waf(类似于切面安全)

作用环节

威胁情报的实际应用环节:

  • TTPs结合复杂事物处理(CEP)引擎从行为上判断是否被是被标记的攻击者或相近攻击者[1]
    • 简单讲是从数据中进行模式匹配,然后来撞IOC库
  • TTPs情报可以给红队当做指导手册来模拟真实风险下的真实敌人[1]
    • 组合战术、技术和流程,然后来模拟不同的攻击手法,给红队模拟真实的敌人
  • 将特定类型的pDNS、IoC标记可以融入告警中,为事件提供背景支撑[1]
    • 撞IoC库,提供情报支撑
  • 漏洞情报中的触发点描述可以结合RASP等安全组件采集的数据捕获一些在野的利用并同步到waf(类似于切面安全)[1]
    • 数据关联、交换

References

[1] 从现状看威胁情报发展趋势,e1knot,https://zhuanlan.zhihu.com/p/183993203