在家搭建属于自己的网络威胁情报系统

什么是威胁情报？

威胁情报涉及对关于网络攻击的、基于证据的信息进行分析，使网络安全专家能够从上下文角度识别问题，并为检测到的问题创建有针对性的解决方案。

威胁情报根植于数据，类似于开源情报(OSINT)，它提供了上下文——例如谁在攻击你、他们的动机和能力是什么、以及你的系统中需要寻找哪些入侵指标(IOC)——这些信息能帮助你做出关于安全的明智决策。

— Recorded Future

需要注意的是，在网络威胁情报(CTI)这个主题下，有几个需要理解的重要子主题；入侵指标、高级持续性威胁和交通灯协议是与CTI相关的三个关键研究领域。

入侵指标(IOC)

入侵指标指的是可以表明一个组织可能已被外部行为者入侵的数据。安全团队利用这些数据来丰富安全信息和事件管理(SIEM)系统中的日志，例如，当一个威胁情报提供商将一个新域名标记为恶意，并且检测到该域名与内部系统之间有活动时，就可以据此发出警报。FINISHED

CSD0tFqvECLokhw9aBeRqqy7pDVE9jtHSghPeFdiPyFuHFIglgO9dvxdSCgfdNnT+V09uaGLbcTIUTZR+2sQMfop9I+aCyQOSKAG5LZpa3SD4plAITOJRDBZscCi2E19INtJlXXKwWgk2wQI/C5apA==