威胁情报是对攻击者及其恶意活动的可运营的知识(actionable knowledge)和洞见(insight),使防御者及其组织能够通过更好的安全决策来降低安全风险。
知识包括上下文、机制、指标、含义和可执行的建议。这些知识使防御者及其组织能够改进他们的安全决策。当安全团队利用“洞见(insight)”来改善他们的整个网络安全态势时,威胁情报可以降低安全风险
https://www.secpulse.com/archives/111108.html
所有威胁情报都应解决三个问题,使客户能够快速确定其组织的相关性和影响,然后在必要时立即采取行动。
威胁情报的四个主要属性
好的威胁情报必须具备四个属性:完整性(completeness),准确性(accuracy),相关性(relevance)和及时性(timeliness)。
- 完整性(completeness):威胁情报必须提供足够的细节以实现正确的响应,如主机取证,恶意软件分析,漏洞分析,网络流量分析和日志分析。
- 准确性(accuracy):这对应着我们一般说的误报率指标。
- 相关性(relevance):强调和具体用户的地域性、行业性相关,即需要针对此用户的环境,能发现可能遭遇的重要威胁。
- 及时性或时效性(timeliness):情报的及时性是由多个因素构成的,从数据收集,云端处理到情报分发(即收集、处理和分发的及时性)。另外,情报不仅需要标记生成时间而且需要标注持续时间。情报的域名拥有者、IP使用者和其上的业务,随着时间的推移,可能产生变化,黑IP会变成白IP。
OpenCTI 即 Open Cyber Threat Intelligence Platform,开放网络威胁情报平台
安装步骤:
#mkdir /path/to/your/app && cd /path/to/your/app
# git clone https://github.com/OpenCTI-Platform/docker.git $ cd docker
OPENCTI_ADMIN_EMAIL=admin@opencti.io # Valid email address OPENCTI_ADMIN_PASSWORD=ChangeMe # String OPENCTI_ADMIN_TOKEN=ChangeMe # Valid UUIDv4 MINIO_ACCESS_KEY=ChangeMeAccess # String MINIO_SECRET_KEY=ChangeMeKey # String RABBITMQ_DEFAULT_USER=guest # String RABBITMQ_DEFAULT_PASS=guest # String CONNECTOR_HISTORY_ID=ChangeMe # Valid UUIDv4 CONNECTOR_EXPORT_FILE_STIX_ID=ChangeMe # Valid UUIDv4 CONNECTOR_EXPORT_FILE_CSV_ID=ChangeMe # Valid UUIDv4 CONNECTOR_IMPORT_FILE_STIX_ID=ChangeMe # Valid UUIDv4 CONNECTOR_IMPORT_FILE_PDF_OBSERVABLES_ID=ChangeMe # Valid UUIDv4
sudo sysctl -w vm.max_map_count=1048575
# sudo docker-compose up -d
