工程师高效威胁情报指南：构建自定义威胁情报源

随着软件持续“吞噬世界”，人工智能成为攻击者的力量倍增器，我们这些负责防御系统的人员必须更加专注、谨慎和主动地应对方法。我们必须挺身而出，迎接这场新的网络威胁冲击。

在本文中，我们将探讨威胁情报：它是什么、为什么重要，威胁情报源如何帮助日常防御，以及如何创建符合组织特定需求的自定义威胁情报源。

理解威胁情报

威胁情报是所有关于潜在或活跃网络安全威胁的上下文信息，帮助我们理解风险。这些信息片段称为威胁情报指标。示例包括恶意IP、域名、恶意软件哈希和攻击者战术。

威胁情报至关重要——它通过用指标和行为模式丰富原始安全数据，帮助组织检测、预防和响应威胁。最有效的威胁情报将技术信息与关于威胁参与者目标、方法和基础设施的洞察相结合。

威胁情报对于对抗警报疲劳和噪音至关重要。过多信息会导致脱敏。我们最终会缓慢响应甚至忽略关键问题。威胁情报的目标是使其有意义，以便我们永远不会错过重要警报。

有几种类型的威胁情报指标。让我们逐一查看其范围和作用。

威胁情报指标和源

威胁情报指标通常分为几类，如原子（单一信息片段）、计算（通过分析得出的信息）和行为（攻击者在做什么）。

我们通常也将信息分组到源中——威胁情报指标的数据流，用于向我们的系统提供关于风险和威胁的持续更新。这就是我们将重点关注的。

威胁情报源可以是：

• 战略源 – 高级威胁趋势、新兴风险和不断演变的攻击向量，有助于长期规划和资源优先级排序。
• 操作源 – 活跃威胁，监控对手使用的战术、技术和程序（TTP），使SOC团队能够预测和防御攻击。
• 技术源 – 精确、可操作的数据（如IP地址、域名和恶意软件哈希），可立即用于阻止已知威胁。
• 战术源 – 实时威胁数据，支持快速事件响应，允许SOC快速反应。

幸运的是，您不必从头构建所有这些源。商业供应商、政府机构和开源社区提供预构建的威胁情报源，采用标准格式，如STIX 2.1（JSON）、OpenloC（XML）和MISP（JSON）。

这些源在范围、质量和专业化方面各不相同。有些专注于国家行为者和高级持久威胁（APT），而其他则强调恶意软件活动、僵尸网络或网络钓鱼基础设施。安全团队可以选择聚合多个源，以构建适合组织需求的全面威胁图景。

示例包括：

• AlienVault OTX – 一个协作威胁情报平台，安全专业人员在此共享和消费实时妥协指标（IOC）。它提供对社区策划的威胁数据的访问，包括IP、域名、恶意软件哈希和攻击模式。
• FBI InfraGard – FBI与私营部门之间的合作伙伴关系，通过可信信息共享保护关键基础设施。InfraGard提供私人威胁情报警报和源自FBI调查和与基础设施运营商合作的行业特定源。
• Google Threat Intelligence（前身为Mandiant） – 提供高置信度IOC、恶意软件签名、YARA规则、参与者档案和活动遥测。源可通过API、STIX/TAXII以及与SIEM/SOAR平台的集成访问，用于自动检测和关联。

私人威胁情报源

但如果这些源无法满足您的所有需求呢？在这种情况下，您需要BYOF！（自带源。）

可以根据您的专有组织需求创建私人威胁情报源，并将其添加到您的威胁情报系统中，就像行业源一样。

理想情况下，这些私人源是通过筛选您的（可能大量的）警报和事件，然后智能地浮现最相关的指标生成的。一旦创建了私人源，您可以将其与上述标准威胁情报源结合。这创建了威胁的定制视图，使您的安全团队能够集中精力并快速响应威胁。

但创建这些私人源可能是一个挑战。您需要构建一个系统，能够存储、聚合、分析行业源和私人源，并将信息显示给安全团队，并与其他常用工具集成，同时保持系统可靠、可扩展和安全。

大多数组织更喜欢利用现有的可靠平台，并将资源集中在核心竞争力上。让我们看看一种实现方式。在我们的示例中，我们将使用Sumo Logic——一个基于云的日志管理和分析服务，大多数人熟悉。

如何将自带源引入Sumo Logic

使用Sumo Logic，我们可以使用现有行业源和自定义源。让我们看看如何通过Web UI添加行业和私人源。

设置权限

首先，如果尚未设置，请转到管理菜单，创建一个具有威胁情报功能的新角色。

导航到威胁情报配置

现在转到配置菜单。在日志部分，点击威胁情报。

您也可以直接浏览到https://service.sumologic.com/threat-intelligence。

预构建源

您会立即看到Sumo Logic已经提供预构建的全球威胁情报源：Intel471和CrowdStrike。

Intel471提供专注于对手行为的威胁情报，从暗网和犯罪论坛等来源收集。其源包括参与者档案、关于计划攻击的早期警告、恶意软件和漏洞利用工具包跟踪，以及与特定威胁参与者相关的上下文丰富的妥协指标（IOC）。

CrowdStrike提供通过其Falcon平台收集的实时终端和云遥测得出的情报。它包括高置信度IOC、对手归因，以及对实时攻击期间观察到的战术、技术和程序（TTP）的详细洞察，通常映射到MITRE ATT&CK框架。

这些源共同为您提供了一个很好的起点，提供了威胁态势的互补视图：Intel471专注于攻击者意图和计划，而CrowdStrike专注于主动执行和观察到的活动。

添加新的自定义指标（BYOF）

但我们不想仅仅使用预构建的源。我们想添加自己的自定义指标（最终是源）。所以接下来让我们这样做。

有三种支持的格式：

• 标准化JSON格式
• CSV格式
• STIX 2.x JSON格式（仅限API使用）

我们将使用JSON。以下是一个示例：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36

{
  "indicators": [
    {
      "id": "0001",
      "indicator": "192.0.2.0",
      "type": "ipv4-addr",
      "source": "TAXII2Source",
      "validFrom": "2023-03-21T12:00:00.000Z",
      "validUntil": "2025-03-21T12:00:00.000Z",
      "confidence": 30,
      "threatType": "malicious-activity",
      "actors": "actor1,actor2",
      "killChain": "reconnaissance",
      "fields": {
        "kill_chain_name": "lockheed-martin-cyber-kill-chain",
        "kill_chain_phase": "reconnaissance"
      }
    },
    {
      "id": "0002",
      "indicator": "192.0.2.1",
      "type": "ipv4-addr",
      "source": "TAXII2Source",
      "validFrom": "2023-03-21T12:00:00.000Z",
      "validUntil": "2025-03-21T12:00:00.000Z",
      "confidence": 30,
      "threatType": "malicious-activity",
      "actors": "actor3,actor4",
      "killChain": "reconnaissance",
      "fields": {
        "kill_chain_name": "lockheed-martin-cyber-kill-chain",
        "kill_chain_phase": "reconnaissance"
      }
    }
  ]
}

有关更多详细信息，请参阅Sumo Logic的威胁情报指标文档。自定义指标将在几分钟后显示。

更新指标

您可能已经注意到，这不是Sumo Logic可以查询和刷新的动态源。相反，我们创建了一个需要定期用最新威胁情报更新的源。

为什么采用基于推送的模型？这很常见，允许Sumo Logic维护安全边界（不存储凭据，没有面临攻击风险的webhook/API），并消除与外部系统相关的任何可靠性风险。这也确保摄取是谨慎、标准化并在组织控制下的。

构建自己的源

通过上述内容，我们现在可以构建自己的私人威胁情报源，并将其与上述行业源结合，创建符合组织确切需求的定制源。

构建自己的源需要一个计划和仔细的执行。您的计划应解决以下问题：

• 您想向Sumo Logic公开哪些威胁指标？
• 您公开单个指标还是多个指标？
• 如何从系统中收集相关信息？
• 如何过滤和准备数据？
• 您多久上传/更新一次指标？

例如，假设我们定期扫描S3存储桶以确保它们不是公开的。但一些S3存储桶包含应具有公共读取访问权限的公共资产。智能私人源可以将公共存储桶列表与白名单进行比较，并仅上传不在列表中的公共存储桶。

一旦您有了答案（和指标），您构建一个服务，定期（或在检测到紧急威胁时）收集、过滤指标文件并将其上传到Sumo Logic API。Sumo Logic将此源与其他选定的行业源结合，为您的组织提供一组定制指标。

结论

将威胁情报集成到安全操作中对于领先于快速演变的网络威胁至关重要。通过利用公共和私人威胁情报源，我们可以更好地理解威胁态势。最终，我们可以采取更快、更精确的行动。

祝您有美好的一天！