Threat Intelligence 威胁情报
有证据支撑的威胁信息 + 上下文。 不只是”有这么个恶意 IP”,而是”这个 IP 属于哪个攻击团伙、用什么手法、针对哪个行业”。
把零散的 IoC 变成”知道敌人是谁、要干什么”的可行动知识。
三个层次
| 层次 | 内容 | 给谁 |
|---|---|---|
| 战术 | IoC、攻击手法 | SOC 分析师、检测系统 |
| 运营 | 攻击者的 TTP(战术/技术/流程) | 响应团队 |
| 战略 | 行业威胁趋势、谁可能盯上你 | 管理层、决策 |
情报从哪来
- 商业情报源(订阅)
- 开源情报(OSINT)
- 行业共享(众包、ISAC)
- VirusTotal 等公共服务
- 自己 狩猎沉淀的
怎么用
导入 SIEM/IDS 自动匹配 IoC;指导 威胁狩猎的假设;帮 分流判断告警严重度。MITRE ATT&CK 是组织威胁情报的通用语言。