威胁情报相关的安全分析场景

从安全告警层面来讲，威胁情报数据可以赋能给检测设备，同时也可以作为Context数据辅助安全分析。从异常检测层面来讲，威胁情报可以结合网络连接等数据，通过关联分析发现特定行为异常与安全风险。从分析方法层面来讲，威胁情报本质上属于黑名单机制，用于检测时的效果很大程度上取决于情报数据的质量。

场景一：外部攻击告警命中威胁情报分析

场景描述：安全告警中外网攻击源IP命中高置信威胁情报数据，判定外网恶意IP发起安全攻击事件

分析方法：安全告警源IP地址匹配威胁情报恶意IP

数据源：安全告警（WAF、IPS、TDA等），TI

解决方案：对安全攻击源IP进行一定周期的封禁

场景二：内网主机与威胁情报黑IP/域名进行通信

场景描述：内网主机与威胁情报黑IP/域名进行请求链接或通信，判定内网主机已经中病毒或失陷

分析方法：内网主机地址行为匹配威胁情报黑IP/域名

数据源：网络连接或服务请求（FW、NTA、DNS请求等），TI

解决方案：对内网主机进行病毒/木马查杀，修复安全漏洞，入侵回溯分析

场景三：邮件服务器向威胁情报黑IP发送大量邮件

场景描述：邮件服务器向威胁情报黑IP发送邮件，判定发送邮件账号已经被攻击者控制

分析方法：特定时间内（如10分钟）邮件服务器地址与威胁情报黑IP网络连接数超过一定数量（如10次）

数据源：网络连接或服务请求（FW、NTA等），TI

解决方案：检查发送邮件的账号，确认该账号是否已经被攻击者控制

场景四：内网主机连接C&C服务器后进行文件/程序下载

场景描述：内网主机与威胁情报C&C服务器连接后下载文件/程序，判定内网主机已经被攻击者控制

分析方法：内网主机连接C&C服务器（请求域名或发起连接）后尝试下载可疑文件/程序

数据源：网络连接、服务请求、下载行为（NTA），TI

解决方案：对内网主机进行病毒/木马查杀，修复安全漏洞，入侵回溯分析

附记：

不同厂商所输出威胁情报数据的质量是不同的，擅长收集情报领域也不一样。就企业而言可以通过部署威胁情报平台TIP，对多家威胁情报数据进行整合。就行业监管机构而言，也可以通过建立行业情报中心，对数据进行整个后再下发给各行业机构。