killvxk/analyzing-threat-intelligence-feeds

分析威胁情报推送

适用场景

在以下情况下使用本技能：

• 导入新的商业或 OSINT 威胁情报，评估其信噪比
• 将异构 IOC 格式（STIX 2.1、OpenIOC、YARA、Sigma）规范化为统一架构
• 评估情报的时效性、准确性以及与组织威胁画像的相关性
• 构建将 IOC 与 SIEM 事件关联的自动化富化流水线

不适用于未建立 CTI 基线时进行原始数据包捕获分析或实时事件分诊。

前置条件

• 访问威胁情报平台（TIP），如 ThreatConnect、MISP 或 OpenCTI
• 至少一个商业情报的 API 密钥（Recorded Future、Mandiant Advantage 或 VirusTotal Enterprise）
• TAXII 2.1 客户端库（taxii2-client Python 包或同类工具）
• 具有 TIP 指标数据库读写权限的角色

工作流程

步骤 1：枚举并优先排序情报来源

按类型列出所有可用情报（商业、政府、ISAC、OSINT）：

• 商业：Recorded Future、Mandiant Advantage、CrowdStrike Falcon Intelligence
• 政府：CISA AIS（自动指标共享）、FBI InfraGard、MS-ISAC
• OSINT：AlienVault OTX、Abuse.ch、PhishTank、Emerging Threats

对每个情报从以下维度打分：更新频率、历史准确率、对您所在行业的覆盖度、以及溯源深度。使用基于 NIST SP 800-150（网络威胁信息共享指南）标准的加权评分矩阵。

步骤 2：通过 TAXII 2.1 或 API 导入

对于支持 TAXII 的情报：

taxii2-client discover https://feed.example.com/taxii/
taxii2-client get-collection --collection-id <id> --since 2024-01-01

对于 REST API 情报（如 Recorded Future）：

• 使用 risk_score_min=65 查询 /v2/indicator/search 以过滤低置信度 IOC
• 为 API 弹性应用速率限制和指数退避

步骤 3：规范化为 STIX 2.1

使用 OASIS 标准架构将每个 IOC 转换为 STIX 2.1 对象：

• IP 地址 → 带 pattern: "[ipv4-addr:value = '...']" 的 indicator 对象
• 域名 → 带 pattern: "[domain-name:value = '...']" 的 indicator
• 文件哈希 → 带 pattern: "[file:hashes.SHA-256 = '...']" 的 indicator

附加 relationship 对象，将指标链接到 threat-actor 或 malware 对象。根据来源准确率评级设置 confidence 字段（0-100）。

步骤 4：去重和富化

使用规范化后的值+类型作为复合键，针对 TIP 现有数据库进行去重。对保留的 IOC 进行富化：

• VirusTotal：检测率、沙箱行为报告
• PassiveTotal (RiskIQ)：WHOIS 历史、被动 DNS、SSL 证书链
• Shodan：Banner 数据、开放端口、地理位置

步骤 5：分发到消费系统

通过 TAXII 2.1 推送将富化后的指标导出到 SIEM（Splunk、Microsoft Sentinel）、防火墙（Palo Alto XSOAR Playbook）和 EDR 平台。按指标类型设置 TTL：IP 地址 30 天、域名 90 天、文件哈希 1 年。

核心概念

| 术语 | 定义 | |------|-----------| | STIX 2.1 | 结构化威胁信息表达式——OASIS 标准 JSON 架构，用于 CTI 对象（指标、威胁行为者、攻击活动和关系） | | TAXII 2.1 | 情报信息可信自动交换——基于 HTTPS 的协议，用于在服务器和客户端之间共享 STIX 内容 | | IOC（失陷指标） | 表明系统可能已被攻陷的可观测工件（IP、域名、哈希、URL） | | TLP | 流量灯协议——以颜色编码分类（RED/AMBER/GREEN/WHITE），定义 CTI 的共享限制 | | 置信度分数 | STIX 中的数值（0-100），反映生产者对指标恶意溯源的确信程度 | | 情报准确性 | 以生产检测中真正例率衡量的情报历史准确率 |

工具与系统

• ThreatConnect TC Exchange：聚合 100+ 个商业和 OSINT 情报；提供 IOC 富化的自动化 Playbook
• MISP（恶意软件信息共享平台）：支持 STIX/TAXII 的开源 TIP；被 ISAC 和政府 CERT 广泛使用
• OpenCTI：具有原生 MITRE ATT&CK 集成和基于图的关系可视化的开源平台
• Recorded Future：具有 AI 风险评分和实时暗网监控的商业情报
• taxii2-client：TAXII 2.0/2.1 客户端操作的 Python 库（pip install taxii2-client）
• PyMISP：用于 MISP 情报管理和 IOC 提交的 Python API

常见陷阱

• IOC 过期陈旧：IP 地址和域名频繁轮换；应用 1 年前的 IOC 会产生误报。执行 TTL 策略。
• 缺少上下文：在不了解相关攻击活动或对手的情况下封锁 IOC 可能中断合法业务流量（如与恶意行为者共享的 CDN IP）。
• 情报重叠但未去重：从五个情报来源导入相同 IOC 却不去重，会导致指标数量膨胀和 SIEM 规则复杂度增加。
• TLP 违规：在授权范围之外重新分发 RED 级别情报违反共享协议和信任关系。
• 对低置信度指标过度封锁：置信度低于 50 的指标应触发仅检测规则，而非封锁规则，以避免运营中断。