处理与网络威胁有关数据的方法有哪些
处理与网络威胁有关数据的方法有以下这些:
正规化:处理包括将收集的数据归一化为统一格式进行分析。收集过程将产生几乎各种可想到的数据结果。情报数据来自各种不同格式,从JSON到XML到CSV到电子邮件的纯文本。供应商在博客帖子或表格中的网站上分享信息,也可以在基于PDF的报告中甚至YouTube视频中分享信息。同时,企业倾向于以不同的格式存储数据。一些企业使用专门的威胁情报平台,而其他企业则从维基或内部应用程序构建自定义的解决方案。
索引:大量的数据需要可进行搜索。无论是处理诸如网络地址、互斥量(Mutexes)等观察数据,还是处理论坛帖子、社交媒体等操作数据,分析师都需要能够快速有效地进行搜索。
翻译:在某些情况下,区域分析师可能会提供源文档的人工翻译,但对于处理来自世界各地信息的大多数企业来说,这通常是不够的。机器翻译虽然不完美,但通常能够提供足够的价值,以便分析人员可以找到感兴趣的项目。如有必要,可请专家进行更准确的翻译。
拓线:为一条信息提供额外的元数据很重要。例如,域名地址需要解析为IP地址,并提取WHOIS注册数据。Google Analytics跟踪代码应该被交叉引用去发现使用相同代码的其他网站。这个过程应该自动进行,以便相关数据能尽快提供给分析人员。
过滤:并非所有数据都具有相同的价值,分析人员在无休止的无关数据流中被压倒。算法可以过滤掉已知无用的信息(尽管它仍然是可搜索的),并且凸显最有用和最相关的数据。
优先级:已收集的数据可能需要排序,以便分析人员可以将资源分配给最重要的条目。分析时间是很宝贵的,应该正确地集中于获取情报产品的最大收益上。
可视化:数据可视化有效果显著的意义。虽然许多分析师通常会对供应商杂乱的仪表盘内容望而生畏,但是根据分析人员的需要(而不是营销和高管认为看起来不错)设计可视化,有助于减少认知负荷。