良好情报的品质

• 收集情报方法（如何收集情报信息）

• 收集情报日期（保证情报时效性）

• 上下文（与情报信息相关的活动、信息之间的关系等）

• 解决分析中的偏差（情报的确认、置信度等）

情报水平

战术：支持 SecOps（安全管理）、IR（安全事件响应） 的低级、高度时效性信息。包括 IOC、observables、细粒度的 TTP。使用者：SOC 分析师、CIRT （应急响应组）调查员。

操作性：比战术情报更笼统，比战略情报更具体。包括有关攻击活动、高阶 TTP 的信息。使用者：网络高级 DFIR（数字取证与事件应急响应） 分析师、其他 CTI （威胁情报）团队。

战略：用于做出有关风险评估、资源分配、组织机构战略的严肃决策的信息。包括趋势、威胁者的动机、分类。使用者：VP级高管和董事会。

数据类型

• 硬数据：有关网络和系统技术方面的信息

• 软数据：有关网络和系统背后对应主体的信息

收集方法

• 主动：通过直接与目标交互来收集

• 被动：在不直接与目标交互的情况下收集信息，通常使用第三方信息服务（DNS、WHOIS）

目标行动

• 销毁：销毁物理或虚拟物品

• 拒绝：拒绝使用资源

• 降级：降低资源或能力的效用

• 驱逐：中断信息流

• 欺骗：提供虚假信息

钻石模型中的每个事件都可以根据其在杀伤链中的阶段进行分类。

不反制的原因

• 很难准确识别攻击者（归因太难）

• 很难按我方损失情况做出反击

• 反制的目的是有限的，除了报复感

• 在大多数国家都是非法的

主动防御的好处

• 打乱攻击者的节奏

• 迫使攻击者犯错，暴露他们

主动防御能力

• 拒绝：抢先排除攻击者的资源

• 破坏：主动从攻击者中排除资源

• 降级：在使用攻击者的资源时略微减少攻击者的资源

• 欺骗：故意向攻击者提供虚假信息

• 破坏：破坏攻击者的工具、基础设施、运营商

F3EAD 循环

情报和应急响应周期相互促进；每个 IR 产生一个 Intel（情报） ，每个Intel 导致一个 IR。

• 发现：确定要解决的威胁（IR 周期的准备阶段）

• 修复：识别攻击者在网络中的存在（IR 周期的识别阶段）

• 完成：对攻击者采取果断行动（IR 周期的遏制、缓解、根除阶段）

• 利用：收集尽可能多的数据（Intel周期的收集阶段）

• 分析：开发攻击者和 TTP 的全貌（Intel周期的分析阶段）

• 传播：与相关利益相关者共享情报（Intel周期的传播阶段）

定位

通过了解谁能够攻击您所保护的系统，您可以专注于对攻击您的系统有用的指标和工具；攻击者倾向于专门攻击某些特定类型的系统

终结

FIR（Fast Incident Response）是一个网络安全事件管理平台，用于情报驱动的 IR

落地使用

情报标准

• CybOX：用于存储和共享威胁情报的构建块；由可观察对象（具有状态、可测量属性的已定义对象）组成

• STIX：可能是处理和接收威胁数据最常用的格式；允许将更多上下文细节添加到 CyBOX 对象

• TAXII：STIX 交互和共享框架

情报工作组

• IODEF：在响应团队之间共享事件信息的框架

• RID：IODEF 和 IODEF-SCI 的传输和共享框架

• IODEF-SCI：围绕事件数据的附加上下文框架

OpenIOC：Mandiant（麦迪安公司）捕获IOC的标准；可与 STIX 互操作。

VERIS：捕获有关事件参与者、资产、行动、属性、时间线、影响的信息的框架；用于理解风险。

CAPEC：捕获攻击模式的框架，包括先决条件、相关弱点、相关漏洞、攻击者步骤。

威胁情报平台 (TIP)

• MISP：免费；强大的情报共享平台

• CRITs：开源；由 MITRE 开发，设计用于 STIX 和 TAXII的平台

• YETI：免费；一个组织和分析各种 CTI 组件的平台

确定要分析什么的问题

• 为什么我们会成为目标？

• 谁袭击了我们？

• 怎么能防止这种情况发生？

• 如何检测到这一点？

• 是否有任何可以识别的模式或趋势？

偏差

• 确认偏差

• 锚定偏差

• 可用性偏差

• 跟风效应

• 镜像偏差（分析师的一个术语，代表经验主义）

结构化分析

结构化分析采用的是和科研方法相同的一类方法，但对假设的检验和评估不像物理实验那样明确。

1. 确定你要回答的问题。

2. 收集生成假设所需的数据。

3. 发展假设。

4. 评估关键假设。

5. 评估假设。

6. Red cell分析（红队术语，评估和质疑假设，一般由中立第3方进行）

7. 如果Red cell分析确定假设不太可能，则生成新假设。否则，确定评估的置信水平。

竞争假设分析 

竞争假设分析是一种确定几个假设中最可能假设的方法。

1. 确定要考虑的假设。

2. 列出支持和反对每个假设的证据。

3. 创建矩阵来评估每个证据是否支持或反驳每个假设。

4. 进行初步分析以细化矩阵。

5. 就每个假设的可能性得出初步结论，重点是反驳假设。

6. 分析您的结论在多大程度上取决于单个证据。

7. 报告关于所有假设可能性的结论。

8. 确定需要重新评估分析的情况。

图分析（又名关联矩阵、社交网络分析、链接分析）是用于查找信息中的模式或关系进行的可视化分析。

换位分析

• 如果你是攻击者

• “假设”分析：看看其他变量将如何改变分析

• 红队分析：分析对手的想法/行为

面向领导

• 专注于做出业务决策所必需的情报。

• 使用情报讲述威胁的故事。

• 言简意赅，切中要害。

面为技术人员

• 专注于数据。

• 具有高度的技术性和描述性，可提供参考和研究。

• 使用机读的情报（例如，STIX 格式的 IOC、YARA 签名）

• 包括接受反馈和问题解答

可操作性

• 务必提供有关对手 TTP 的信息

• 确保产品包含易于使用的 IOC、签名规则等

• 回答用户提出的具体的、相关的问题

• 不要在没有有意义的细节的情况下给出过于宽泛的描述

• 不要使用阻碍从情报产品中复制信息的工具或方法

• 不要使用只特定于某个供应商的情报数据格式

• 不要过度分类信息