如何利用威胁情报平台来做安全防护工作

如上所述,这种威胁情报网络平台主要是朝向安全运营技术人员用于进行威胁的深入分析、拓线、追溯等。下边主要是讲解下要是用这种情报网络平台来进行安全运营工作。

outputo-20210825-092629-504-cldj.png

1、简便的检索

此项非常简单,主要是安全运营技术人员有1条情报,在这种网络平台进行检索,依据检索的效果来进行相应的处理。

如某一IP地址,检索到的标识是拒绝服务攻击,就需用把IP地址加上到硬件防火墙的阻隔目录中;

如某一文档是勒索软件,就需用删掉该文件。

2、拓线和追溯

当导入的情报没法检索到详细的标识时,就需用人工进行某些拓线和追溯的实际操作。

拓线的形式主要是有二种:数据模型拓线;依据关系终端设备的深化拓线和追溯。

1)数据模型拓线

如导入hash,未发觉标识。随后检索链接表:

亲子关系,依据检索到的父或是子文档深化拓线;

文件打开方式的IP地址、domain,依据相应的IP地址和网站域名进行深化拓线;

文档的在野下载链接,依据免费下载url地址来进行深化拓线;

pdb,依据pdb的信息内容,检索大量样版,再对于样版进行拓线;

搜索文件的类似文档,依据检索到的类似文档,再进行拓线。

获取文档相应的字符串数组或是2进制特点,检索样版,依据检索到的样版再进行拓线。

如导入IP地址,未发觉标识。随后检索链接表:

浏览过该IP地址的样版,依据样版进行拓线;

IP地址相应的网站域名,依据网站域名更进一步拓线;

如导入domain,未发觉标识。随后检索链接表:

浏览过该domain的样版,依据样版进行拓线;

该domain解析到的IP地址,依据IP地址进行拓线;

domain的域名信息,依据域名信息进行拓线。

2)关系终端设备的拓线

依据导入的情报,若没法检索到相应的链接表,或是依据链接表也没法下结论的情况下,能够依据情报检索到相应的终端设备信息内容。随后在终端设备上来发觉某些新的情报。

若关系到的终端设备是失守设备,则检索设备上具有的某些文档和数据连接状况,看是不是有大量的攻击样版和情报,再依据这种情报来进行拓线。自然有种特有的状况:该失守服务器被好几个团伙进行攻击,则关系的信息会出现相应的误差,自然这需用深入分析技术人员有相应的判断力;

若关系的终端设备是攻击者的,则能够依据服务器文档、网络浏览来检索大量的情报来进行拓线。就算无法进行追溯,也可以利用某些终端设备信息内容,来对于攻击者进行相应的攻击者肖像描绘。


分享: