威胁情报驱动的内容创建

本文最初于2021年7月发布在infosecamateur.com，2022年1月更新技术演进内容

2022年1月技术更新说明

MITRE持续完善ATT&CK框架中的数据源关系映射，现已采用STIX格式实现机器可读性。当前挑战在于将原始日志字段映射至通用语言（如Splunk的CIM），再关联到高层抽象的MITRE数据源。OTRF OSSEM项目正在推进该领域工作，但需要融入MITRE体系并获得行业广泛采纳才能发挥真正价值。

第一部分——概述

内容创建的战略意义

SOC团队通常将大量时间投入事件分类、分析和文档记录，但同等重要的是开发新检测内容以应对不断演变的威胁 landscape。本文旨在探索建立标准化流程和结构，实现内容创建的去重化、可共享、可扩展，并有效识别防御盲区。

模块化防御体系的核心价值

通过建立基于实际威胁的模块化、机器可读内容创建流程，能够高效评估覆盖范围并精准定位防御缺口。行业正从传统原子级IOC（文件哈希、IP地址等）向基于STIX结构化数据的Sigma检测方法共享演进，这将显著加速检测工程流程。

技术框架组件解析

威胁分类模型

引用美国前国防部长唐纳德·拉姆斯菲尔德的观点，将威胁分为三类：

已知已知威胁：明确识别的恶意URL或恶意软件
已知未知威胁：通过已知威胁基础设施或TTP进行关联发现
未知未知威胁：无先验知识的威胁，需通过异常行为狩猎发现

威胁建模方法论

采用钻石模型等工具识别组织面临的独特和共性威胁。不同资产（如PII和知识产权）面临差异化威胁，精准的威胁建模能明确风险优先级。

威胁文档化规范

建立"威胁档案库"记录以下要素：

对手背景描述
已知信息变更日志
关联规则/TTP链接（如MITRE ATT&CK技术）

检测工程实践体系

用例开发框架

检测工程包含TTP和IOC的抽象化处理，以及IDS、EDR、SIEM等平台规则的开发。“痛苦金字塔"理论强调不应局限于低层级指标检测，而应向更高抽象层级演进以发现未知威胁。

安全控制的双重价值

除了检测，更应注重威胁预防。但需注意：坚定的攻击者不会因单一方法失效而放弃，因此防护控制本身也应具备检测能力，以实现全面响应。

抽象规则（Sigma）架构

Sigma项目（https://github.com/SigmaHQ/sigma）提供通用规则格式，支持通过Sigmac工具转换为Splunk、Sentinel等平台专用规则。抽象规则应包含：

数据输入规范
逻辑描述
结果定义
依赖关系映射
响应剧本链接
外部参考关联
规则生命周期管理

安全工具规则实现

在SIEM、EDR、IDS等平台实现具体检测逻辑，但需注意这些规则本身不包含上下文信息，凸显抽象规则的重要性。

数据源需求映射

检测能力取决于可见性范围。MITRE正系统化映射技术实现与数据源需求（https://github.com/mitre-attack/attack-datasources），帮助防御者精准识别所需数据源。

响应剧本设计

采用模块化设计，将"防火墙封禁IP”、“联系用户"等通用动作抽象为可复用组件。

置信度测试框架

通过Atomic Red Team测试和Mordor数据集等工具验证检测/防护规则有效性，确保规则按预期工作。

MITRE生态系统的演进

MITRE ATT&CK已成为安全工具的事实标准，新观测技术会持续纳入框架。最新推出的MITRE D3fend矩阵帮助确定检测/防护ATT&CK TTP所需能力。数据源需求的重构（https://github.com/mitre-attack/attack-datasources）使防御者能精确识别检测需求。

行业发展趋势

威胁情报驱动的内容开发正朝着模块化、开源方向快速发展，MITRE在其中发挥引领作用。其工作将加速安全能力提升，使防御者能更专注于发现未知威胁，而非重复适配已知威胁。