在數(shù)字化轉(zhuǎn)型浪潮中，各行業(yè)的業(yè)務(wù)上云與SaaS化進(jìn)程正在逐漸加速，但配套的安全體系建設(shè)卻存在滯后的戰(zhàn)的承壓點(diǎn)，在威脅檢測(cè)分析場(chǎng)景下甲方用戶也會(huì)提出在此背景下，威脅情報(bào)通過將威脅知識(shí)轉(zhuǎn)化為可操作的檢測(cè)規(guī)則與響應(yīng)建議，成為破解防御難題的關(guān)鍵品迭代與企業(yè)安全體系效能升級(jí)的愿景。1.概述 041.2騰訊云安全科恩實(shí)驗(yàn)室威脅情報(bào)介紹 051.3本文目標(biāo)讀者與使用場(chǎng)景 072.技術(shù)方案的籌備2.1威脅情報(bào)的數(shù)據(jù)分類 092.2威脅情報(bào)的集成模式 2.3威脅情報(bào)的數(shù)據(jù)源選擇 3.專項(xiàng)場(chǎng)景最佳實(shí)踐功能設(shè)計(jì) 3.2流量威脅檢測(cè) 263.3邊界防護(hù)與阻斷 333.4主機(jī)與終端安全 393.5郵件安全 444.總結(jié)與展望4.1威脅情報(bào)應(yīng)用進(jìn)展 504.2更全面的威脅情報(bào)合作模式展望 4.3更廣泛的威脅情報(bào)應(yīng)用場(chǎng)景展望 525.附錄Definitionandvalueofthreatintelligence其核心價(jià)值體現(xiàn)為構(gòu)建分層次、全周期的網(wǎng)絡(luò)安全決策支撐框架：IntroductiontoTencentCloudSecurityKeenLabThreatIntelligence頂級(jí)黑客大賽Pwn2Own總冠軍，打破歷史成為首個(gè)獲得DEFCONCT全研究成果，助力廠商修復(fù)安全問題并護(hù)航產(chǎn)業(yè)高質(zhì)量發(fā)展。動(dòng)防御體系建設(shè)，提出多項(xiàng)創(chuàng)新算法解決代進(jìn)制函數(shù)相似性檢測(cè)和漏洞挖掘精準(zhǔn)度?？贫鲗?shí)驗(yàn)室自主研發(fā)的BinaryAI智能分析平臺(tái)，融合AI算法實(shí)現(xiàn)高風(fēng)險(xiǎn)監(jiān)測(cè)等場(chǎng)景，持續(xù)推動(dòng)AI與安全的創(chuàng)新融合和產(chǎn)業(yè)護(hù)航，并多次獲得安全最佳應(yīng)用案例等國家級(jí)榮譽(yù)?！魯?shù)據(jù)整合全域化◆威脅分析專業(yè)化整合了全量CVE、CNNVD、CNVD等通用漏洞庫、重點(diǎn)攻擊團(tuán)伙的活動(dòng)歷史信息，形成20余類場(chǎng)景化情態(tài)樣本分析結(jié)合大模型AI分析流程，二進(jìn)制深度分析，◆運(yùn)營發(fā)布自動(dòng)化級(jí)高質(zhì)量檢測(cè)指征數(shù)據(jù)的持續(xù)產(chǎn)出。騰訊云安全科恩實(shí)驗(yàn)室威脅情報(bào)能力概覽圖過定時(shí)更新持續(xù)優(yōu)化攻擊攔截率并保障誤報(bào)控制?；谌芷诠芾砼c持續(xù)運(yùn)營機(jī)制，騰訊云安全威脅情報(bào)團(tuán)隊(duì)持續(xù)投入對(duì)抗新型攻擊技戰(zhàn)術(shù)以保障情報(bào)能力的實(shí)戰(zhàn)價(jià)值，為騰訊安全和生態(tài)合作伙伴提供核心威脅識(shí)別Targetaudienceandusagescenariosforthisarticle本文旨在為網(wǎng)絡(luò)安全領(lǐng)域相關(guān)從業(yè)者提供威脅情報(bào)與安全產(chǎn)品深度結(jié)合的研發(fā)指導(dǎo)，主要面向安全產(chǎn)品經(jīng)理、◆安全產(chǎn)品能力迭代：策略配置等，可有效增強(qiáng)安全產(chǎn)品的威脅檢出率與攔截精度。◆實(shí)網(wǎng)攻防與應(yīng)急響應(yīng)：◆安全能力體系規(guī)劃：脅提煉方式等場(chǎng)景。具體產(chǎn)品規(guī)劃與設(shè)計(jì)需要滿足實(shí)際業(yè)務(wù)場(chǎng)景下的相關(guān)規(guī)范和要求（如行業(yè)性標(biāo)準(zhǔn)，與產(chǎn)品研發(fā)的融合路徑，提升攻防對(duì)抗中的主動(dòng)防御能力與業(yè)務(wù)風(fēng)險(xiǎn)管控效率。DataClassificationofThreatIntelligence風(fēng)險(xiǎn)URL鏈接情報(bào)：此類情報(bào)一般用于辦公網(wǎng)終端上網(wǎng)行為中的風(fēng)險(xiǎn)此類情報(bào)一般用于與入站請(qǐng)求的來源地址IP（互請(qǐng)求來源?？蓹z出的威脅類型包括：WEB此類情報(bào)一般用于與網(wǎng)絡(luò)中傳輸?shù)奈募﨟ash進(jìn)聯(lián)IOC，相關(guān)ATT&CK攻擊手法。常用的匹配的件等的Hash值。Threatintelligenceintegrationmodel◆威脅情報(bào)云查服務(wù)云查服務(wù)是指威脅情報(bào)的消費(fèi)方（主要是指安全產(chǎn)品）可通過Restful標(biāo)準(zhǔn)的API模式，批量化高并發(fā)的使用云端情報(bào)查詢服務(wù)的一種機(jī)讀接口調(diào)用機(jī)制。優(yōu)先采用云查API接口而非私有化部署模式的

實(shí)時(shí)性與快速響應(yīng)需求：當(dāng)企業(yè)需要即時(shí)獲取最新威脅情報(bào)以應(yīng)對(duì)快速演變的攻擊手法時(shí)，云查API服務(wù)因?yàn)橐劳性贫藢?shí)時(shí)更私有化部署需依賴本地情報(bào)庫的定期更新，存在時(shí)間滯后風(fēng)險(xiǎn)。

低成本與低門檻的需求：對(duì)于中小型企業(yè)缺乏完善的安全團(tuán)隊(duì)的組織，采用云查API的方式可以有效避免承擔(dān)私有化部署的高昂硬件成本及復(fù)雜運(yùn)維壓力，通過SaaS模式按需調(diào)用即可實(shí)現(xiàn)輕量化安全能力集成。

自動(dòng)化整合多來源數(shù)據(jù)形成統(tǒng)一查詢服務(wù)需求：云查API背靠云端情報(bào)生產(chǎn)運(yùn)營系統(tǒng)，可原生聚合多源威脅數(shù)據(jù)，提供實(shí)時(shí)性高的多源聚合結(jié)果查詢。在AI大模型與安全運(yùn)營平臺(tái)的結(jié)合場(chǎng)景下，威脅情報(bào)云查也需要滿足新的◆私有化對(duì)接方案此方案是指將云端威脅情報(bào)數(shù)據(jù)進(jìn)行本地化下沉存儲(chǔ)，實(shí)現(xiàn)隔離網(wǎng)環(huán)境下的情報(bào)查詢應(yīng)用。具體形式包括將情報(bào)通過SDK等形式集成在安全產(chǎn)品內(nèi)部作為威脅情報(bào)引擎（以下簡(jiǎn)稱為“威脅情報(bào)本地引擎”或通過保障不具備情報(bào)能力安全設(shè)備通過利舊接入，實(shí)現(xiàn)擴(kuò)展威私有化部署模式的主要場(chǎng)景包括：

網(wǎng)絡(luò)環(huán)境嚴(yán)格隔離互聯(lián)網(wǎng)：據(jù)的更新需要再本地完成且使用過程全程無需聯(lián)網(wǎng)。

情報(bào)查詢性能要求較高：的高速查詢能力。這種情況通過外連互聯(lián)網(wǎng)的方式，無法滿足

情報(bào)數(shù)據(jù)的本地管理運(yùn)營：以實(shí)現(xiàn)威脅檢測(cè)效能的提升。這種情況下就需要情報(bào)數(shù)據(jù)可在本地進(jìn)行實(shí)時(shí)調(diào)用?；谕{情報(bào)本地引擎的的對(duì)接方案-架構(gòu)示意圖威脅情報(bào)的數(shù)據(jù)源選擇Threatintelligencedatasourceselection◆情報(bào)數(shù)據(jù)類型需要足夠豐富（IOC/TTP/上下文情報(bào)）

檢測(cè)類情報(bào)（如IOCAPT攻擊的C&C服務(wù)器IP或惡意樣本哈希值需要嚴(yán)格控制準(zhǔn)確度，以便作為阻斷的建議指標(biāo)。而低

技戰(zhàn)術(shù)情報(bào)（如TTP評(píng)估

畫像型情報(bào)（如標(biāo)簽上下文豐富的畫像信息，能夠補(bǔ)充事件響應(yīng)人員對(duì)威脅的整體評(píng)估的全局視野?；诎踩\(yùn)營業(yè)務(wù)場(chǎng)景所需的VPN、暗網(wǎng)節(jié)點(diǎn)和地理位置特征，往往可以協(xié)助隱匿身份的來訪地址識(shí)別?！魯?shù)據(jù)來源需要有可信度保障互聯(lián)網(wǎng)的威脅無處不在，在不同業(yè)務(wù)場(chǎng)景的攻擊事件產(chǎn)生的威脅情報(bào)數(shù)據(jù)也會(huì)大和開源情報(bào)線索的挖掘?！舨煌愋颓閳?bào)的需要有完善的更新頻率保障擊來源IP理論上要保證當(dāng)天有效。為了支撐最終應(yīng)用端的情報(bào)數(shù)據(jù)的新鮮度，情報(bào)生產(chǎn)運(yùn)營不能依賴開源SecurityOperationsandAutomatedAnalysisResponse3.1.1挑戰(zhàn)與痛點(diǎn)◆告警疲勞，響應(yīng)效率低下互聯(lián)網(wǎng)的威脅無處不在，在不同業(yè)務(wù)場(chǎng)景的攻擊事件產(chǎn)生的威覆蓋了足夠多的主要業(yè)務(wù)場(chǎng)景，才能保證應(yīng)用情報(bào)時(shí)威脅事件的檢出率。完◆難以關(guān)聯(lián)，缺失跨系統(tǒng)事件分析的關(guān)聯(lián)性孤立的安全設(shè)備日志無法還原復(fù)雜的攻擊過程各階段，但通過威脅情報(bào)識(shí)別攻擊者要素實(shí)體惡意家族攻擊團(tuán)伙歸屬實(shí)現(xiàn)分散事件間的邏輯鏈路、攻擊階段重新整合?！羧狈ι舷挛?，告警難以區(qū)分真實(shí)攻擊與誤報(bào)能會(huì)導(dǎo)致漏報(bào)或誤報(bào)?！粢蕾嚾斯そ?jīng)驗(yàn)，無法確定響應(yīng)動(dòng)作和形成自動(dòng)化劇本（Playbook）化的劇本，能有效提升企業(yè)運(yùn)營效率和降低應(yīng)急響應(yīng)時(shí)間。3.1.2推薦情報(bào)類型◆威脅情報(bào)本地引擎&云查服務(wù)

查詢情報(bào)獲取的更多上下文字段，如ATT&CK、惡意家族團(tuán)伙等。3.1.3應(yīng)用場(chǎng)景說明優(yōu)化告警分診的策略配置優(yōu)化告警分診的策略配置安全運(yùn)營平臺(tái)的首要挑戰(zhàn)往往是告警過多的問題。對(duì)于部署在頭部大型國有企業(yè)總部的安全運(yùn)營平臺(tái)來說，豐富化告警的上下文豐富化告警的上下文注入情報(bào)到知識(shí)庫供注入情報(bào)到知識(shí)庫供SOAR的Playbook的調(diào)用3.1.4關(guān)鍵功能設(shè)計(jì)◆建議添加方式：新增獨(dú)立頁面?！糁饕獌?nèi)容：◆功能價(jià)值概述：為用戶提供一站式管理界面，方便查看已接入的情報(bào)數(shù)據(jù)以及啟足更具體場(chǎng)景的情報(bào)使用需要。◆功能設(shè)計(jì)概述：型情報(bào)數(shù)據(jù)進(jìn)行統(tǒng)一管理。情報(bào)源管理-參考交互界面示意圖是針對(duì)收集到的各類安全設(shè)備的告警進(jìn)行研判，故在集成威脅情報(bào)本地引擎時(shí)，需要基于告警格式去建立映IP入站情報(bào)，可以有效識(shí)別可疑來訪源和相關(guān)風(fēng)險(xiǎn)標(biāo)簽。情報(bào)源添加-參考交互界面示意圖情報(bào)的應(yīng)用優(yōu)先級(jí)一般高于外部情報(bào)源。新建自定義情報(bào)-參考交互界面示意圖◆建議添加方式：基于原有告警檢測(cè)模塊進(jìn)行補(bǔ)充。◆主要內(nèi)容：◆功能價(jià)值概述：由于告警日志格式存在多樣性，需要增補(bǔ)自定義字段配置模式以增強(qiáng)適配各情報(bào)數(shù)據(jù)的應(yīng)用范圍?；{事件檢出能力?！艄δ茉O(shè)計(jì)概述：日志接入規(guī)則配置-參考交互界面示意圖告警規(guī)則配置-參考交互界面示意圖重保情報(bào)策略配置-參考交互界面示意圖◆建議添加方式：◆主要內(nèi)容：◆功能價(jià)值概述：統(tǒng)的告警處置流程之后的告警量仍然過多，在此基礎(chǔ)上通過威脅情報(bào)的風(fēng)險(xiǎn)等級(jí)和威◆功能設(shè)計(jì)概述：告警規(guī)則配置-參考交互界面示意圖網(wǎng)云查情報(bào)以保障數(shù)據(jù)的時(shí)效性和上下文的豐富度。威脅詳情呈現(xiàn)-參考交互界面示意圖功能模塊4：智能化劇本配置管理◆建議添加方式：基于原有劇本編排結(jié)合情報(bào)數(shù)據(jù)維度進(jìn)行增強(qiáng)?！糁饕獌?nèi)容：◆功能價(jià)值概述：◆功能設(shè)計(jì)概述：匿蹤來源識(shí)別劇本-參考交互界面示意圖 后告警中包含威脅情報(bào)富化的比例為威脅情報(bào)的IOC關(guān)聯(lián)線索自動(dòng)化分析劇本-參考交互界面示意圖業(yè)務(wù)風(fēng)險(xiǎn)分析劇本-參考交互界面示意圖MTTR（平均響應(yīng)時(shí)間）降低值3.1.5效果度量指標(biāo)MTTR（平均響應(yīng)時(shí)間）降低值高價(jià)值標(biāo)簽命中量 告警有效性提升值高價(jià)值標(biāo)簽命中量自動(dòng)化劇本執(zhí)行覆蓋率 劇本制定的靈活性提升值自動(dòng)化劇本執(zhí)行覆蓋率TrafficThreatDetection安全DNS產(chǎn)品等。3.2.1挑戰(zhàn)與痛點(diǎn)◆規(guī)則檢測(cè)滯后，難以覆蓋最新威脅傳統(tǒng)規(guī)則檢測(cè)依賴預(yù)定義特征庫（如SQL注入模式但新型攻擊（如APT隱蔽通信）常通過低頻加密流量或合法協(xié)議混淆惡意行為，靜態(tài)規(guī)則無法實(shí)時(shí)抽象動(dòng)態(tài)攻擊特征。例如，APT攻擊者利用未公開的DGA域名生成算法進(jìn)行C2通信，威脅情報(bào)缺失時(shí)，系統(tǒng)無法及時(shí)更新規(guī)則庫攔截此類新型攻擊，導(dǎo)致檢測(cè)滯后于攻擊者技術(shù)迭代策略可以高效的檢出此類威脅?！羰录信?，缺乏上下文關(guān)聯(lián)線索缺乏威脅情報(bào)提供的跨終端日志、網(wǎng)絡(luò)行為等關(guān)聯(lián)線索，無法識(shí)別攻擊伴隨的控?cái)?shù)據(jù)外泄行為。僅依賴單維度流量數(shù)據(jù)可能將APT攻擊誤判為普通網(wǎng)絡(luò)波動(dòng)，導(dǎo)致響應(yīng)延誤。端點(diǎn)異常進(jìn)程與加密流量的關(guān)聯(lián)分析需依賴威脅情報(bào)中便準(zhǔn)確判斷攻擊意圖。◆加密流量，需要基于攻擊者身份判定風(fēng)險(xiǎn)3.2.2推薦情報(bào)類型3.2.3應(yīng)用場(chǎng)景說明◆增強(qiáng)威脅事件檢出誤報(bào)多，關(guān)鍵威脅易漏報(bào)等問題。如果加載威匹配IOC出站情報(bào)可有效甄別最新的威脅事件，覆蓋更多威脅類型的檢出依據(jù)?！舾婢换c精煉3.2.4關(guān)鍵功能設(shè)計(jì)◆建議添加方式：新增獨(dú)立頁面?！糁饕獌?nèi)容：◆功能價(jià)值概述：為用戶提供一套管理界面，查看已接入的情報(bào)數(shù)據(jù)以及啟用情況，并添加和管理?！艄δ茉O(shè)計(jì)概述情報(bào)源管理-參考交互界面示意圖情報(bào)源添加-參考交互界面示意圖自定義情報(bào)管理-參考交互界面示意圖◆建議添加方式：新增彈窗頁面進(jìn)行啟用。◆主要內(nèi)容：◆功能價(jià)值概述：◆功能設(shè)計(jì)概述情報(bào)全局應(yīng)用配置-參考交互界面示意圖功能模塊3：威脅事件查看與管理◆建議添加方式：◆主要內(nèi)容：基于威脅情報(bào)本地引擎增補(bǔ)相關(guān)告警字段，并支持用戶基于告警查看情報(bào)上下文詳情?！艄δ軆r(jià)值概述：威脅情報(bào)是原有內(nèi)置檢測(cè)規(guī)則的補(bǔ)充和加強(qiáng)，通過提供檢索條件和展現(xiàn)方式，以可以幫助用戶快速定位一些威脅標(biāo)簽相關(guān)的安全事件?！艄δ茉O(shè)計(jì)概述告警展示界面-參考交互界面示意圖重保情報(bào)策略配置-重保情報(bào)策略配置-參考交互界面示意圖威脅情報(bào)詳情-參考交互界面示意圖◆建議添加方式：◆主要內(nèi)容：◆功能價(jià)值概述：◆功能設(shè)計(jì)概述告警展示界面-參考交互界面示意圖3.2.4關(guān)鍵功能設(shè)計(jì)◆告警檢出率提升值◆誤報(bào)率降低值◆可富化上下文的告警占的總比例Borderprotectionandblocking3.3.1挑戰(zhàn)與痛點(diǎn)◆在網(wǎng)關(guān)側(cè)，難以發(fā)現(xiàn)高級(jí)持續(xù)性威脅傳統(tǒng)網(wǎng)關(guān)類產(chǎn)品，依賴靜態(tài)規(guī)則檢測(cè)已知威脅，但面對(duì)高級(jí)持續(xù)性威脅（APT往邊界防護(hù)設(shè)備很難基于規(guī)則去針對(duì)性識(shí)別造成漏報(bào)，但威脅情報(bào)因?yàn)橛懈鼜V泛的威脅監(jiān)測(cè)視野，確定性的IOC可以直接作為高置信的黑名單支撐邊界防護(hù)設(shè)備識(shí)別對(duì)應(yīng)遠(yuǎn)控服務(wù)器的IP或域名。◆缺乏識(shí)別礦池等類型威脅事件的手段挖礦類軟件的通信行為常通過加密流量偽裝，傳統(tǒng)網(wǎng)關(guān)難◆無法建立確定性威脅的阻斷能力流量吞吐的設(shè)備，更需要精準(zhǔn)的判斷進(jìn)行阻斷支撐。而高精準(zhǔn)的IOC則可有效彌補(bǔ)網(wǎng)關(guān)類設(shè)備的這一短板?！粜阅苡邢逕o法承載大規(guī)模黑名單數(shù)據(jù)傳統(tǒng)網(wǎng)關(guān)硬件性能無法支撐大規(guī)模黑名單數(shù)據(jù)，且更新模式上會(huì)給性能帶來更大挑戰(zhàn)。這亟待一種原生性的威脅情報(bào)結(jié)合模式，在達(dá)到百萬級(jí)數(shù)據(jù)加載的同滿足在總量較大情況下的分層下沉，以保障應(yīng)用產(chǎn)品的數(shù)據(jù)量在性能可控范圍內(nèi)?！鬊OT防護(hù)依賴規(guī)則容易出現(xiàn)漏報(bào)3.3.2推薦情報(bào)選型◆威脅情報(bào)本地引擎&云查接口：加載高精準(zhǔn)情報(bào)增強(qiáng)邊界產(chǎn)品阻斷能力加載高精準(zhǔn)情報(bào)增強(qiáng)邊界產(chǎn)品阻斷能力更新時(shí)間等維度篩選滿足性能滿足實(shí)際檢測(cè)需要?；谇閳?bào)建立阻斷已知威脅的規(guī)則由于威脅情報(bào)往往基于真實(shí)發(fā)生的威脅事件提煉相關(guān)指征。所的匹配規(guī)則滿足高性能大吞吐寬松的檢測(cè)規(guī)則。訂閱專項(xiàng)情報(bào)減少威脅檢測(cè)盲區(qū)針對(duì)防火墻等邊界防護(hù)設(shè)備所報(bào)本地引擎并定期更新情報(bào)數(shù)3.3.4關(guān)鍵功能設(shè)計(jì)◆建議添加方式：新增獨(dú)立頁面?！糁饕獌?nèi)容：◆功能價(jià)值概述：為用戶提供一套簡(jiǎn)潔的管理界面，查看已接入的情報(bào)數(shù)據(jù)以及啟用情況，快速應(yīng)用情報(bào)數(shù)據(jù)指導(dǎo)檢測(cè)和阻斷。◆功能設(shè)計(jì)概述情報(bào)源管理-參考交互界面示意圖黑白名單編輯頁面-參考交互界面示意圖重保情報(bào)策略配置-參考交互界面示意圖◆建議添加方式：優(yōu)化原有防火墻管理中臺(tái)的告警展示界面?！糁饕獌?nèi)容：◆功能價(jià)值概述：網(wǎng)關(guān)類設(shè)備一般阻斷的都是確定性威脅，那么在事后復(fù)盤環(huán)節(jié)往往需要相關(guān)上下文線索作為阻斷策略的依據(jù)支撐。但傳統(tǒng)的規(guī)則檢測(cè)往往缺乏此類信息，所以在告警查看頁面增補(bǔ)威脅情報(bào)上下文可以有效彌補(bǔ)事析閉環(huán)所需的旁證信息?！艄δ茉O(shè)計(jì)概述重保情報(bào)策略配置-參考交互界面示意圖威脅情報(bào)調(diào)查詳情頁呈現(xiàn)-參考交互界面示意圖3.3.5效果度量指標(biāo) 惡意流量阻斷執(zhí)行次數(shù)統(tǒng)計(jì)應(yīng)用威脅情報(bào)前后統(tǒng)計(jì)審計(jì)日志執(zhí)行阻斷行 威脅類型覆蓋率，安全事件關(guān)聯(lián)數(shù)量 威脅事件檢出率 性能占用是否滿足需求HostandTerminalSecurity3.4.1挑戰(zhàn)與痛點(diǎn)◆主機(jī)入侵方式多樣，需要樣本和網(wǎng)絡(luò)側(cè)關(guān)聯(lián)分析難把威脅樣本與網(wǎng)絡(luò)行為建立聯(lián)系的能力?！舭踩€維度廣，亟待網(wǎng)絡(luò)行為分析能力補(bǔ)充在主機(jī)和終端管控環(huán)節(jié)，往往依賴攻防對(duì)抗的角度3.4.2推薦情報(bào)選型◆反病毒引擎&云沙箱：本地部署實(shí)現(xiàn)惡意文件快速鑒定和修復(fù)，復(fù)雜樣本可通過云端深度分析獲取更豐富信3.4.3應(yīng)用場(chǎng)景說明◆文件接收?qǐng)鼍皹颖捐b定終端和主機(jī)安全產(chǎn)品主要的威脅來自外部風(fēng)險(xiǎn)文件，但惡意家族的變體眾多很難依賴單獨(dú)維度進(jìn)行識(shí)別?？梢訦ash則使用文件信譽(yù)進(jìn)行研判；對(duì)于高可疑樣本，可投遞沙箱做進(jìn)一步分析?！敉饴?lián)請(qǐng)求行為研判對(duì)于終端出現(xiàn)的可疑外聯(lián)行為，可結(jié)合IOC出站情報(bào)以及URL信譽(yù)進(jìn)行研判，識(shí)別是否存在C2行為或訪問3.4.4關(guān)鍵功能設(shè)計(jì)◆建議添加方式：優(yōu)化原有威脅檢測(cè)配置模塊?！糁饕獌?nèi)容：◆功能價(jià)值概述：為用戶提供一套完整的內(nèi)置引擎管理界面，方便了◆功能設(shè)計(jì)概述威脅情報(bào)調(diào)查詳情頁呈現(xiàn)-參考交互界面示意圖◆建議添加方式：優(yōu)化原有主機(jī)終端的運(yùn)營中心告警展示界面。◆主要內(nèi)容：◆功能價(jià)值概述：以對(duì)文件類威脅建立相對(duì)詳細(xì)的上下文信息以輔助威脅事件的研判，另外域名、IP類情報(bào)也可以輔助對(duì)威脅線索進(jìn)行關(guān)聯(lián)拓線?！艄δ茉O(shè)計(jì)概述告警列表頁-參考交互界面示意圖威脅實(shí)體-參考交互界面示意圖

威脅情報(bào)詳情頁：對(duì)于需要更豐富的威脅情報(bào)查閱需求，可基于外部情報(bào)源的云端威脅情報(bào)展示頁面進(jìn)行威脅情報(bào)云查詳情頁-參考交互界面示意圖3.4.5效果度量指標(biāo)◆風(fēng)險(xiǎn)外聯(lián)的識(shí)別數(shù)量和占比統(tǒng)計(jì)主機(jī)側(cè)對(duì)外請(qǐng)求中命中IOC的事件數(shù)量，以及接收到的木馬類惡意樣本數(shù)量，并確認(rèn)其中情報(bào)貢獻(xiàn)的◆惡意樣本感染前識(shí)別量和識(shí)別總量Emailsecurity3.5.1挑戰(zhàn)與痛點(diǎn)◆高級(jí)釣魚攻擊識(shí)別能力不足典型的郵件安全依賴用戶業(yè)務(wù)行為特點(diǎn)配置檢測(cè)規(guī)則，以增強(qiáng)反釣釣魚攻擊涉及場(chǎng)景比較復(fù)雜，又要滿足業(yè)務(wù)場(chǎng)景下魚地址鏈接進(jìn)行深度運(yùn)營，能夠有效提升整體的釣魚攻擊事件識(shí)別率?！綮o態(tài)規(guī)則難以應(yīng)對(duì)動(dòng)態(tài)威脅傳統(tǒng)靜態(tài)規(guī)則庫會(huì)帶來誤報(bào)率高的問題，如無法動(dòng)態(tài)更新惡意鏈接/附件特征對(duì)具體場(chǎng)景下3.5.2推薦情報(bào)類型◆威脅情報(bào)云查服務(wù)◆反病毒引擎（可選）

鑒定發(fā)現(xiàn)附件惡意文件3.5.3應(yīng)用場(chǎng)景說明◆識(shí)別郵件內(nèi)惡意鏈接◆發(fā)現(xiàn)附件威脅◆發(fā)件者畫像分析3.5.4關(guān)鍵功能