@烟雨
2年前 提问
1个回答
什么是威胁情报
趣能一姐
2年前
威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。一般威胁情报需要包含威胁源、攻击目的、攻击对象、攻击手法、漏洞、攻击特征、防御措施等。威胁情报在事前可以起到预警的作用,在威胁发生时可以协助进行检测和响应,在事后可以用于分析和溯源。
主要的威胁情报标准如下:
STIX:Structured Threat Information eXpression (STIX),结构化的威胁信息表达,当前为2.0版本,主要定义了威胁对象和关系。
TAXII:Trusted Automated eXchange of Indicator Information (TAXII),定义了一个应用层协议用于威胁指标信息交换。
CybOX:Cyber Observable eXpression (CybOX),网络指示器表达,定义了包括域名、IP、文件、证书、网络连接等。CybOX后续整合到STIX 2.0中。
MAEC:Malware Attribute Enumeration and Characterization (MAEC),专门用于对恶意代码属性的枚举和特征。