1. 威脅情報

1.1. 使用威脅情報更好地瞭解對手並洞察當前的威脅是藍隊的有效手段

1.2. 將情報引入網絡安全領域是一個很自然的過渡，因為現在的威脅範圍非常廣，對手也千差萬別

2. 威脅情報概述

2.1. 擁有強大的檢測系統對於組織的安全態勢是必不可少的

2.2. 改進該系統的一種方法是減少檢測到的噪聲和誤報數量

2.3. 你最終會隨機排列未來告警的優先級（在某些情況下甚至忽略）​，因為你認為它們不值得查看

2.4. 情報和分析辦公室(Office of Intelligence and Analysis，I&A)

• 2.4.1. 該辦公室利用情報來加強邊境安全

• 2.4.2. 通過推動不同機構之間的信息共享並向各級決策者提供預測性情報來實現的

2.5. 可以通過更多地瞭解對手、他們的動機以及他們使用的技術來提高你的檢測能力

• 2.5.1. 對收集的數據使用這種威脅情報可以給出更有意義的結果，並揭示傳統傳感器無法檢測到的操作

2.6. 當收集數據用作網絡情報來源時，你會確定有些數據將引導你得出已經知道的結果（已知的威脅，即已知的已知）​

2.7. 有些數據，你知道其中有一些並不正常，但不知道它是什麼（已知的未知）​

2.8. 其他數據你不知道它是什麼，也不知道它是否不正常（未知的未知）

2.9. 網絡威脅情報(Cyber Threat Intelligence，CTI)

2.10. 攻擊者特徵/動機

• 2.10.1. 網絡犯罪：主要的動機是獲得財務成果或竊取敏感數據

• 2.10.2. 黑客：這個羣體有更廣泛的動機範圍（可以是表達政治傾向，也可以是表達特定原因）​

  • 2.10.2.1. 如果你的組織正在支持一個特定的黨派，而這個黨派正在做一些黑客組織完全反對的事情，那麼你可能會成為目標

• 2.10.3. 網絡間諜活動：越來越多的網絡間諜案件正在發生

2.11. 將威脅情報作為防禦系統的一部分的另一個優勢是能夠根據對手確定數據範圍

• 2.11.1. 瞭解你試圖保護的資產類型也有助於縮小應該更加關注的威脅行為者的範圍，而威脅情報可以提供這些信息

• 2.11.2. 要了解威脅情報並不總是可以從單個位置獲得

2.12. 唯一可行的攻陷指示器(Indicators of Compromise，IoC)是勒索軟件樣本的散列和文件名

2.13. 藍隊有足夠的信息來確定此補丁程序對其試圖保護的業務的重要性

2.14. 許多組織沒有充分意識到這個問題的影響，它們沒有打補丁，而是禁用了從互聯網訪問SMB

• 2.14.1. 一旦危害了內網中的一台計算機（注意，防火牆規則不再重要）​，它將利用漏洞攻擊其他未安裝修復補丁的系統

2.15. 通過了解對手可以做出更好的決策來保護自己的資產

• 2.15.1. 你不能將威脅情報視為一種IT安全工具，因為它超越了這一範圍

• 2.15.2. 必須將威脅情報視為一種工具，以幫助制定有關組織防禦的決策，幫助管理人員決定應如何投資安全性，並幫助CISO理順與高層管理人員的關係

2.16. 領域

• 2.16.1. 技術：當獲得有關特定IoC的信息時，此信息通常由安全運營中心分析師和事件響應(Incident Response，IR)小組使用

• 2.16.2. 戰術：當能夠確定攻擊者使用的策略、技術和程序(Tactic、Technique、Procedure，TTP)時，這是SOC分析師通常使用的關鍵信息

• 2.16.3. 操作：當能夠確定有關特定攻擊的詳細信息時，這是藍隊要使用的重要信息

• 2.16.4. 戰略：當能夠確定有關攻擊風險的高級信息時

  • 2.16.4.1. 這是更高層次的信息，因此這些信息通常由高管和管理人員使用

2.17. 威脅情報有不同的用例

• 2.17.1. 還可以與傳感器集成以減少誤報

3. 用於威脅情報的開源工具

3.1. 協作和信息共享是情報界的基礎

• 3.1.1. MetaDefender Cloud TI訂閲

• 3.1.2. fraudguard dot io網站

• 3.1.3. Critical Stack Intel Feed

• 3.1.4. Bro Network Security Monitor

• 3.1.5. Palo Alto Networks

  • 3.1.5.1. MineMeld

• 3.1.6. malwr dot com

• 3.1.7. AlienVault Unified Security Management(USM)Anywhere

  • 3.1.7.1. 不僅僅是威脅情報的來源，它還可以執行漏洞評估，檢查網絡流量，查找已知威脅、策略違規和可疑活動

3.2. 用於生成此告警的威脅情報可能會因供應商而異，但通常會考慮目標網絡、流量模式和潛在的IoC

3.3. 除了可用於驗證和分析具體問題的工具外，還有一些免費的威脅情報饋送，可用於瞭解最新的威脅信

• 3.3.1. 勒索軟件跟蹤指示器(Ransomware Tracker Indicators)

  • 3.3.1.1. 跟蹤和監視與勒索軟件關聯的域名、IP地址和URL的狀態

• 3.3.2. Automated Indicator Sharing

  • 3.3.2.1. 允許雙向共享網絡威脅指示器

• 3.3.3. Virtus Total

  • 3.3.3.1. 幫助你分析可疑文件和URL以檢測惡意軟件類型

• 3.3.4. Talos Intelligence

  • 3.3.4.1. 由Cisco Talos提供支持，有多種查詢威脅情報的方式，包括URL、文件信譽、電子郵件和惡意軟件數據

• 3.3.5. The Harvester

  • 3.3.5.1. 此工具在Kali Linux上可用，它將從不同的公共來源（包括SHODAN數據庫）收集電子郵件、子域、主機、開放端口和旗標(banner)

3.4. 使用MITRE ATT&CK

• 3.4.1. 根據MITRE ATT& CK:Design and Philosophy電子書，MITRE ATT&CK是一個精心策劃的知識庫和網絡對手行為模型，反映了對手攻擊生命週期的各個階段以及他們已知的目標平台

• 3.4.2. 可以利用這個知識庫，更好地瞭解對手是如何破壞系統的，以及他們正在使用哪些技術

• 3.4.3. 階段

  • 3.4.3.1. 偵察

  • 3.4.3.2. 資源開發

  • 3.4.3.3. 初始訪問

  • 3.4.3.4. 執行

  • 3.4.3.5. 持久性

  • 3.4.3.6. 權限升級

  • 3.4.3.7. 防禦規避

  • 3.4.3.8. 憑據訪問

  • 3.4.3.9. 發現

  • 3.4.3.10. 橫向移動

  • 3.4.3.11. 收集

  • 3.4.3.12. 指揮控制

  • 3.4.3.13. 滲出

  • 3.4.3.14. 影響

• 3.4.4. 當檢查有助於瞭解對手如何運作的有用信息時，你將能夠將行為映射到矩陣的特定階段

  • 3.4.4.1. 由事件系統（如安全信息和事件管理平台）收集的原始數據將為你提供有關環境中正在發生事情的大量指示

  • 3.4.4.2. 都是Windows的內置命令，所以從本質上講，它們不僅是良性的，而且是合法的管理命令

    3.4.4.2.1. 系統的行為是可疑的，這些命令的執行順序可能表明有惡意操作

• 3.4.5. 發現行為：這可以來自原始日誌或事件的描述

• 3.4.6. 研究行為：試着更好地理解這個場景，攻擊的整體行為

• 3.4.7. 將行為轉化為MITRE ATT&CK戰術：這裏你將利用MITRE ATT&CK網站

• 3.4.8. 識別技術和子技術：隨着繼續探索MITRE ATT&CK戰術，你將瞭解有關正在使用的技術和子技術的更多細節

  • 3.4.8.1. 並不是每個行為都是一種技術或子技術

  • 3.4.8.2. 總是需要考慮到上下文

4. 微軟威脅情報

4.1. 對於使用微軟產品的組織來説，無論是在內部還是在雲中部署，都會將威脅情報作為產品本身的一部分來使用

4.2. 現在許多微軟產品和服務都利用共享威脅情報，可以提供上下文、相關性和優先級管理來幫助採取行動

4.3. 渠道

• 4.3.1. 蜜罐、惡意IP地址、殭屍網絡和惡意軟件引爆饋送

• 4.3.2. 第三方來源（威脅情報饋送)

• 4.3.3. 基於人的觀察和情報收集

• 4.3.4. 來自其服務消費的情報

• 4.3.5. 由微軟和第三方生成的情報饋送

4.4. 安全信息和事件管理(Security Information and Event Management，SIEM)工具，它最初被稱為Azure Sentinel，並在2021年更名為Microsoft Sentinel

• 4.4.1. 對於已經使用Microsoft產品的組織來説，Microsoft Sentinel是很有用的