如何分析威胁情报告警（威胁情报标准）

本篇文章给大家谈谈如何分析威胁情报告警，以及威胁情报标准对应的知识点，希望对各位有所帮助，不要忘了收藏本站喔。 今天给各位分享如何分析威胁情报告警的知识，其中也会对威胁情报标准进行解释，如果能碰巧解决你现在面临的问题，别忘了关注本站，现在开始吧！

本文目录一览：

• 1、从ATT&CK开始——威胁情报
• 2、威胁情报杂谈——IOC情报的使用
• 3、在阿里云上云服务器空间想架设网站又想有win7操作系统用于远程使用，该如何操作？
• 4、常见的威胁情报协议是什么它们有什么区别
• 5、威胁情报是什么

从ATT&CK开始——威胁情报

https://attack.mitre.org/resources/getting-started/

一、威胁情报

基于来自ATTCK用户的反馈,在第一个ATTCKcon和从其如何分析威胁情报告警他途径,我们学到了很多,就像我们告诉如何分析威胁情报告警你,我们已经意识到,这将有助于我们退后一步,专注于你们很多人一个问题:我如何开始使用ATTCK吗?

这本书开始是一系列的博客文章如何分析威胁情报告警，旨在回答这个问题的四个关键用例:

�（1）威胁情报

（2）�检测和分析

（3）�对手仿真和红队

�（4）评估和工程

我们根据这些用例重新组织了我们的网站来共享内容如何分析威胁情报告警，我们希望这些博客文章能增加这些资源。

ATTCK对于任何组织来说都是非常有用的如何分析威胁情报告警，因为他们想要建立一个基于威胁的防御体系，所以我们想要分享如何开始的想法，不管你的团队有多复杂。

我们将把这些帖子分成不同的级别:

�一级对于刚开始那些可能没有许多资源

二级中层团队开始成熟

�三级为更先进的网络安全团队和资源

我们将以威胁情报作为本书的开篇，因为它是最好的用例(尽管我相信我的同事可能不同意!)

在2018年，我对如何利用ATTCK推进网络威胁情报(CTI)进行了一个高层次的概述。在本章中，我将在此基础上，分享一些实用的入门建议。

1.1 一级

网络威胁情报就是要知道你的对手在做什么，然后利用这些信息来改进决策。对于一个只有几个分析师的组织来说，他们想要开始使用ATTCK作为威胁情报，你可以从一个你关心的小组开始，观察他们在ATTCK中的行为。

你可以根据他们之前的目标组织，从我们网站上的那些组织中选择一个小组。另外，许多威胁情报订阅提供商也映射到ATTCK，因此您可以使用他们的信息作为参考。

从那里，您可以打开该组的页面，查看他们使用的技术(仅基于我们映射的开源报告)，以便了解更多关于他们的信息。如果你需要更多的技术信息，因为你不熟悉它，没有问题，它就在ATTCK网站上。你可以对我们使用的每一个软件样本重复这个步骤，我们分别在ATTCK的网站上追踪它们。

那么我们如何使这些信息变得可操作，这就是威胁情报的全部意义?让我们与我们的防御者分享它，因为这是一个针对我们部门的组织，我们想要防御他们。当你这样做的时候，你可以在ATTCK网站上找到一些想法，让你开始检测和减轻技术。

例如:让你的防御者知道APT19使用的特定注册表运行键。但是，他们可能会改变这一点，并使用不同的运行键。如果您查看该技术的检测建议，您会看到一个建议是监视注册表中的新运行键，您不希望在您的环境中看到这些键。这将是与你的防御者进行的一个伟大的谈话。

总之，开始使用ATTCK作为威胁情报的一个简单方法是查看您所关心的单个敌手组。识别他们使用过的一些行为可以帮助你告诉你的防御者他们如何尝试去发现那个群体。

1.2 二级

你有一个由威胁分析专家组成的团队，他们会定期查看对手的信息，你可以采取的下一个行动是将情报映射到自己身上，而不是使用其他人已经映射的信息。如果你有一个关于你的组织已经工作的事件的报告，这可以是一个伟大的内部来源映射到ATTCK，或者你可以使用一个外部报告，如博客文章。为了简化这个过程，您可以只从一个报告开始。

我们意识到，当你不知道所有的数百种技术时，试图映射到ATTCK是很可怕的。这里有一个你可以遵循的过程来帮助这一点。

1. 了解ATTCK -熟悉ATTCK的整体结构:

战术(对手的技术目标)、技术(如何实现这些目标)和过程(技术的具体实现)。看看我们的入门页面和哲学论文。

2. 找出对手的行为——从比原子指示器(比如IP地址)更广的角度考虑对手的行为。例如，上述报告中的恶意软件“建立了一个SOCKS5连接”。建立联系的行为是对手采取的行为。

3.研究行为——如果你不熟悉行为，你可能需要做更多的研究。在我们的例子中，一个小的研究表明SOCKS5是一个第5层(会话层)协议。

4. 将行为转化为战术——考虑对手的技术目标，然后选择一个合适的战术。好消息是:在企业战略中只有12种战术可供选择。对于SOCKS5连接示例，建立到以后通信的连接属于命令和控制策略。

5. 弄清楚什么技术适用于行为——这可能有点棘手，但是根据你的分析技能和ATTCK网站上的例子，这是可行的。如果您在我们的网站上搜索SOCKS，就会弹出技术标准非应用层协议(T1095)。查看技术描述，您将发现这可能是我们的行为所适合的地方。

6. 将您的结果与其他分析人员进行比较—当然，您对某个行为的解释可能与其他分析人员不同。这很正常，而且在ATTCK团队中经常发生!我强烈建议您将您的ATTCK信息映射与其他分析师的进行比较，并讨论其中的差异。

对于那些有几个分析师的CTI团队来说，将信息映射到ATTCK是一个很好的方法，可以确保您获得最相关的信息来满足您的组织的需求。从那里，你可以将attck地图上的敌方信息传递给你的防御者，以通知他们的防御，就像我们上面讨论的那样。

1.3三级

如果你的CTI团队是先进的，你可以开始映射更多的信息到ATTCK，然后使用这些信息来优先考虑你如何防御。采用上述过程，您可以将内部和外部信息映射到ATTCK，包括事件响应数据、来自OSINT或威胁intel订阅的报告、实时警报和组织的历史信息。

一旦你映射了这些数据，你就可以做一些很酷的事情来比较组和优先使用常用的技术。例如，从ATTCK导航器中获取这个矩阵视图，我之前与ATTCK网站上的技术共享了它。只有APT3使用的技术以蓝色突出显示;只有APT29使用的是黄色突出显示的，APT3和APT29都使用的是绿色突出显示的。(所有这些都是基于我们所映射的公开信息，而这些信息只是这些组织所做工作的一部分。)

您应该根据组织的主要威胁替换您关心的组和技术。为了帮助您创建自己的导航器层，就像我在上面所做的那样，这里有一个关于生成上述矩阵的步骤的逐步指南，以及一个视频演练，它还提供了导航器功能的概述。
然后，我们可以聚合信息来确定常用的技术，这可以帮助防御者知道应该优先处理什么。这让我们可以优先考虑技术，并与防御者分享他们应该关注的检测和减轻。在我们上面的矩阵中，如果APT3和APT29是组织中被认为对他们构成高威胁的两个组，那么绿色的技术可能是决定如何减轻和检测的最高优先级。如果我们的防御者已经给了CTI团队帮助确定他们应该在哪里优先分配防御资源的要求，我们可以与他们共享这些信息，作为他们开始的地方。

如果我们的防御者已经对他们能探测到什么进行了评估(我们将在以后的章节中讨论)，你就可以将这些信息叠加到你所知道的威胁上。这是一个很好的地方来集中您的资源，因为您知道您所关心的组已经使用了这些技术，而您无法检测它们!

您可以根据您所拥有的数据继续添加您所观察到的对手所使用的技术，并开发一个频繁使用的技术的“热图”。Brian Beyer和我在SANS CTI峰会上讨论了我们如何基于MITRE-curated和Red Canary-curated数据集提出不同的“前20”技术。你的团队可以遵循同样的过程来创建你自己的“前20名”。

这个映射ATTCK技术的过程并不完美，并且存在偏见，但是这些信息仍然可以帮助您开始更清楚地了解对手在做什么。

(你可以在这张幻灯片上阅读更多关于偏见和限制的内容，我们希望很快分享更多的想法。)

对于想要将ATTCK用于CTI的高级团队来说，将各种资源映射到ATTCK可以帮助您建立对对手行为的深刻理解，从而帮助确定优先级并为您的组织提供防御信息。

总结

在我们的入门指南的第一章中，我们已经带你走过了三个不同的层次，如何开始ATTCK和威胁情报，这取决于你的团队的资源。在以后的章节中，我们将深入探讨如何开始使用其他用例，包括检测和分析、对手模拟和红色团队、评估和工程。

威胁情报杂谈——IOC情报的使用

当前国内市场上，威胁情报最普遍的使用场景，就是利用IOC情报（ Indicators of Compromise）进行日志检测，发现内部被攻陷的主机等重要风险。这种情况下可以发现传统安全产品无法发现的很多威胁，并且大多是成功的攻击，对于安全运营有较大的帮助。这种场景看似简单，就是日志数据和情报之间的匹配，其实并不是如此，个人在这几年的工作中，对这个场景的认识有了多次转变，现今看来可以小结为3个层次。

最初的时候，认为IOC情报匹配本身并不复杂，核心的问题是情报本身的质量（相关性、及时性、准确性、可指导响应的上下文），特别是上下文问题，非常重要，除了一般会考虑到的风险等级、可信度等信息外，还需要提供相关攻击团伙和家族的攻击目的、危害、技战术等相关的内容，提供相关的远控端是否活跃，是否已经被安全厂商接管等信息，以此响应团队可以判定是否需要响应，哪个事件的优先级更高等。后续发现对于很多团队缺乏事件响应经验，理想情况下情报上下文最好能提供不同威胁的响应参考策略，这部分似乎也可以归入到上下文中。这个层次暂且称其为简单匹配。

后来逐步发现IOC的匹配问题并不单纯，针对不同的日志类型需要有专门的优化。典型的例子就是DNS日志或者防火墙的五元组日志，下面以DNS日志为例进行说明。DNS日志是进行IOC匹配比较理想的类型，因为有些远控服务器当时可能不能解析，因此不会产生其它类型的应用层日志，但通过DNS活动就可以推断对应的主机上已经运行了一个木马或者蠕虫病毒，甚或是APT攻击。这个远控的IOC形式可能是一个域名，这种情况就比较简单；但如果是一个URL，这种情况下如何匹配就是一个相对复杂的事情，因为单纯的DNS数据是不能精确判别是否出现失陷的，往往要引入一些参考的数据类别，并考虑企业对哪些威胁类型更加关注，这种情况下需要有更加复杂的匹配机制。这个层次可以称其为高级匹配。

经过前两个阶段，对于大多数组织应该可以较好的使用威胁情报做检测了。但从更高要求看，可能还会出现一些需要解决的问题，如日志中显示的域名没有直接的威胁情报命中，但是域名所在的主机其实已经明确是属于某个网络犯罪组织的，这种情况下如何产生报警；再如对一个邮件做详细的分析判定，是需要从多个维度进行分析，其中会使用多个类型的威胁情报。解决这些问题不但需要有威胁情报及网络基础数据，还需要有相应的分析判定模型，这部分可以说在编排和自动化范围内（SOAR），如果还需要有一个名字，不知智能化匹配是否合适。

简单匹配、高级匹配、智能化匹配，这是基于过去对IOC使用情况思考的一个简单总结。不能确定是否还会有更多的层次，但有一点可以肯定，随着对威胁情报IOC使用的不断探索，威胁情报在检测过程的作用一定会越来越大。而事件响应分析、安全预警上情报的使用大致也有同样的过程，可以在后续找机会探讨，而下篇文章更多要聊聊威胁情报IOC的评估。

在阿里云上云服务器空间想架设网站又想有win7操作系统用于远程使用，该如何操作？

尊敬的用户，您好！阿里云服务器默认已经安装了您购买前选择的操作系统，服务器本身可远程登录，不需要安装其他系统。而且服务器如果是做网站用途，用服务器版本系列的操作系统即可，没必要用Windows 7家庭系统，请您知晓！
如果仍有其他疑问，欢迎您继续追问！
回答者：雷克斯博士
时间：2019年2月18号晚上21点14分

常见的威胁情报协议是什么它们有什么区别

2013年5月，Gartner提出威胁情报的概念。威胁情报是一种基于证据的知识，包括上下文、机制、指标、含义以及能够执行的建议。威胁情报描述了对资产已有或将出现的威胁或危害，并可用于告知决策者对该威胁或危害做出响应提供信息。威胁情报是对对手的分析，分析其能力、动机和目标。而网络威胁情报是对对手如何使用网络来实现目标的分析，应用结构化的分析过程，来了解攻击及其背后的对手。
机读情报（Machine-Readable Threat Intelligence,MRTI ）
机读情报即机器可读情报，通过自动化方式从网络收集数据提供给企业。机读情报的优势在于，能够收集足够的数据，确保所有主要的威胁能够得到识别，自动筛选无用或重复数据，无需耗费人力，提供当前及历史变量数据威胁，同时将数据进行格式化，便于机器操作，人工也能轻松进行上下文分析、关联及有限排序。机读情报能够允许SIEM或者其他安全控制设备，根据当前相关威胁形势信息作出安全运营决策。
人读情报（People-Readable Threat Intelligence,PRTI）
人读情报是高度浓缩的，主要由安全项、网络实体以及新兴的黑客组织、攻击等组成，主要解决解决的是信息爆炸的问题，提供针对企业或者用户个性化的情报。同时，人读情报也包含很多机读情报。人读情报格式广泛，安全公告、漏洞预警、病毒/APT分析等都属于该类别。
“2 情报共享交换标准
CybOX（Cyber Observable eXpression）
CybOX即网络可观测事件表达，是一种用于管理网络观测到的交流和报告的标准化语言，主要用于威胁情报词汇标准。它是由美国非营利性组织MITRE 基于现实观察到的对手技战术知识库开发的框架。CybOX提供了一套标准且支持扩展的语法，用来描述所有可被计算机系统和操作上观察到的内容。可观察的对象可以是动态的事件，也可以是静态的资产，如HTTP会话、X509证书、文件、系统配置项等。

威胁情报是什么

情报(intelligence)一词英文的原意是“瞭解的能力”(the Faculty of Understanding)，从传统情报机构的立场上，情报的本质则是“减少冲突的不确定性”。对情报的重视古已有之，《孙子兵法》中所说“知己知彼，百战不殆”讲的就是情报的重要性，情报就能帮助你做到知彼。在网络空间的战斗中，情报同样有着至关重要的地位：

知己：更丰富的组织环境数据，也就是这几年经常提到的环境感知能力。通过“知己”，我们可以快速的排查误报，进行异常检测，支撑事件响应活动，在这里不再多言。知彼：关于攻击对手自身、使用工具及相关技术的信息，即威胁情报，可以应用这些数据来发现恶意活动，以至定位到具体的组织或个人。

作为一种攻防间的对抗活动，威胁情报工作其实从开始的时候就存在了：回想一下IPS或者AV的签名，其中很大一部分不就是针对攻击者使用的攻击工具的吗，IP及域名的信誉库也是同样。

威胁情报，是面向新的威胁形式，防御思路从过去的基于漏洞为中心的方法，进化成基于威胁为中心的方法的必然结果，它和大数据安全分析、基于攻击链的纵深防御等思想正在形成新一代的防御体系的基石。

近年来，国内外已经出现了多家做威胁情报业务的公司，列举一些比较有名的：

国外：

SecureWorks

VirusTotal

ThreatGrid

Caspida

AlienValut

CrowdStrike

LookingGlass

iSight Partners

ThreatStream

ThreatConnect

Ikanow

Sqrrl

Endgame

Lastline

FireEye

iDefense

国内：

ThreatBook

Virusbook 关于如何分析威胁情报告警和威胁情报标准的介绍到此就结束了，不知道你从中找到你需要的信息了吗 ？如果你还想了解更多这方面的信息，记得收藏关注本站。 如何分析威胁情报告警的介绍就聊到这里吧，感谢你花时间阅读本站内容，更多关于威胁情报标准、如何分析威胁情报告警的信息别忘了在本站进行查找喔。