如何正确地共享情报

分享威胁情报时，你需要了解接收情报的人。商业高管更关心的是组织的影响、公司预算和资源的分配以及投入产出比，而不是软件补丁或与新服务器相关的漏洞。虽然它们可能有关联，但所用的术语和强调的影响主要取决于接收情报的人。你需要使用的是他们的语言，而不是你的语言。 战术性威胁情报应传达给那些能够从分享的信息或行动中学习的战术层面防御者。重点通常更多在于威胁数据，而非最终定型的威胁情报，通常通过IoC分享。

YARA

YARA 是一种模式匹配工具，用于创建可以识别数据模式的签名。它是恶意软件分析师的最爱，在社区中越来越受欢迎。它的灵活性和“高级 Grep”类型功能使其易于与其他分析师共享，并可以在其他数据中搜索复杂的数据模式，无论是内存捕获还是数据包捕获。（搜索数据包捕获需要一些插件。） 更多内容参考yara学习笔记

https://www.yuque.com/safestplace/ok5z7h/dy6wc0