简介
在复杂多变的网络安全环境中,攻击者往往具备高隐蔽性与持续性,传统的边界防护与静态规则匹配已经不足以有效应对新型攻击。威胁情报 (Threat Intelligence) 通过对海量威胁数据进行专业的清洗、建模和关联分析,使安全团队能够从纷繁的告警信息中提炼重点,提前发现潜在威胁、缩短响应时间、降低安全防护成本。
当威胁情报与 Elastic Security 技术生态结合,用户可以借助 Elastic Stack 对多源异构的数据进行结构化管理和关联分析。在 Elasticsearch 中快速检索威胁情报数据,结合业务日志、网络流量与终端事件进行上下文关联从而实现更准确的告警收敛与优化决策。通过 Kibana可视化分析与 Elastic Common Schema (ECS) 标准化语义模型,安全团队能够快速执行跨域查询、生成可视化报告、挖掘趋势,从被动响应向主动预防和持续智能分析转型。
腾讯安全威胁情报中心依托腾讯安全近二十年网络安全经验积累和全网资源,对海量数据进行自动化挖掘、识别和标定,以提供高价值、上下文关联的威胁情报。其情报数据不仅涵盖恶意 IP、域名、文件 Hash、URL 等 IOC 信息,还包括背后攻击团伙、攻击手法、地理属性和网络定位特征。腾讯云 Elasticsearch Service 与腾讯安全威胁情报中心合作推出威胁情报数据订阅功能,用户可在 ES 中对情报数据进行高速检索与可视化分析,并与自身业务数据进行上下文关联,构建更高效的安全运营、预警与响应机制。
启用方式
用户可在控制台一键开启腾讯威胁情报数据订阅,在集群详情 > 高级配置页面中,找到“威胁情报数据”卡片,点击开启威胁情报数据订阅即可。
目前该功能仅适用于 ES 版本为 8.16.1 的集群。
开启订阅后,腾讯威胁情报数据将以小时级频率更新最新的威胁情报数据至用户集群,并与索引别名“logs-ti_tencent”关联。
如不再使用威胁情报数据,可在控制台关闭订阅,logs-ti_tencent 的索引数据将不再更新,但不会自动删除,用户可手动删除。
如在启用数据订阅前已存在索引使用了“logs-ti_tencent”这一名称,需先手动删除该索引,否则无法正常订阅腾讯威胁情报数据。
威胁情报数据说明
目前腾讯云 ES 提供的腾讯安全威胁情报数据包含以下三种类型:
1. 活跃攻击源IP情报
依赖于腾讯全系列业务安全数据积累,提供攻击属性判断等标签,帮助用户识别攻击来源信息和基础网络属性信息。
2. IOC 失陷情报
APT 攻击、蠕虫木马、僵尸网络、勒索软件等的远控服务器地址情报数据库,可以用来匹配防火墙、IPS 告警等外联访问日志中的目的地址 IP(为精确可加端口),用以发现内部的失陷主机及相关攻击事件。
3. 文件信誉情报
提供基于文件 MD5的查询接口,总量百亿级,提供文件深度分析所得的动态、静态检测结果。具体内容包含黑白判定,风险等级,文件名称,报毒名,相关家族团伙,威胁类型等。
Elastic Security 使用说明
订阅腾讯威胁情报数据后,用户即可通过 Kibana 中的 Security 模块相关功能进行威胁情报侦测。
用户可直接利用 Elastic Security 内置的预置检测规则 (Prebuilt Detection了针对 IP 地址、Hash 值、URL、域名等 IOC 类型的匹配 Rules) 进行威胁情报匹配。Elastic Security 默认提供规则模板,这些预置规则包含了详细的说明、调查指南 (Investigation Guide) 及配置建议,用户只需进行适当的参数调整与索引匹配配置,即可快速适配腾讯威胁情报数据,与实际环境中的安全事件进行关联分析。
1. 选择和复制预置规则
Threat Intel Indicator Match 类别下的 IP、Hash、URL、Domain 指示器匹配规则。通过复制现有规则,修改目标索引(指向订阅的腾讯威胁情报数据索引 logs-ti_tencent)和相关字段匹配关系,即可实现快速定制。
2. 更新条件与字段映射
根据 ECS 标准化的字段 (如 threat.indicator.ip、threat.indicator.file.hash.md5、threat.indicator.url.original等) 对规则条件进行匹配调整,以确保事件数据(如 source.ip 或 destination.ip) 与威胁情报指标能够正确比对。
3. 验证与启用规则
完成配置后,启用规则并在实际运行中观察告警结果。当规则匹配到威胁情报时,将自动生成告警,助力安全团队快速发现潜在威胁。
