20XX/XX/XX威脅情報(bào)與狩獵提升企業(yè)安全能力匯報(bào)人:XXXCONTENTS目錄01

威脅情報(bào)概述02

威脅情報(bào)全生命周期管理03

威脅狩獵核心步驟04

華訊網(wǎng)絡(luò)的實(shí)踐應(yīng)用05

典型行業(yè)場(chǎng)景案例及挑戰(zhàn)06

威脅情報(bào)與狩獵的價(jià)值威脅情報(bào)概述01威脅情報(bào)定義

基于可操作安全信息的決策支撐威脅情報(bào)（TI）是經(jīng)收集、處理與分析的安全威脅信息，含惡意IP、域名、哈希、漏洞詳情等。2025年華訊網(wǎng)絡(luò)依托APTGroupIOC等源，日均解析超23萬(wàn)條IOC，98.7%具備設(shè)備直配能力。

面向防御閉環(huán)的動(dòng)態(tài)知識(shí)體系TI非靜態(tài)數(shù)據(jù)堆砌，而是驅(qū)動(dòng)檢測(cè)、響應(yīng)、加固的閉環(huán)知識(shí)。2024年Gartner調(diào)研顯示，采用TI閉環(huán)機(jī)制的企業(yè)平均MTTD縮短至1.8小時(shí)，較行業(yè)均值快63%。

冷戰(zhàn)溯源與網(wǎng)絡(luò)空間演進(jìn)產(chǎn)物TI起源于冷戰(zhàn)情報(bào)范式，2025年國(guó)家網(wǎng)安周上海活動(dòng)明確其為“主動(dòng)防御”核心支柱；電科數(shù)字旗下華訊網(wǎng)絡(luò)已將TI深度嵌入32家金融客戶SOC平臺(tái)。威脅情報(bào)分類戰(zhàn)術(shù)威脅情報(bào)（TacticalTI）提供惡意IP/域名/哈希等可執(zhí)行指標(biāo)，直接配置防火墻與EDR規(guī)則。2025年華訊網(wǎng)絡(luò)向某國(guó)有銀行推送WannaCry變種IOC1,247條，攔截率99.2%，零誤報(bào)。操作威脅情報(bào)（OperationalTI）揭示攻擊者TTPs（戰(zhàn)術(shù)、技術(shù)與過程），如APT29利用釣魚郵件投遞CobaltStrike。2024年微步在線披露該組織新C2域名集群，助27家政企客戶提前封禁。戰(zhàn)略與技術(shù)威脅情報(bào)戰(zhàn)略TI聚焦地緣政治風(fēng)險(xiǎn)趨勢(shì)（如2025年針對(duì)長(zhǎng)三角制造企業(yè)的供應(yīng)鏈攻擊上升41%）；技術(shù)TI解析EternalBlue等漏洞利用鏈，支撐補(bǔ)丁優(yōu)先級(jí)決策。威脅情報(bào)作用

預(yù)測(cè)與預(yù)防能力強(qiáng)化通過關(guān)聯(lián)APT組織歷史行為預(yù)測(cè)攻擊窗口。2025年華訊網(wǎng)絡(luò)基于Lazarus組織活躍度模型，在朝鮮黑客發(fā)動(dòng)“FallingEagle”行動(dòng)前72小時(shí)發(fā)出預(yù)警，覆蓋11家關(guān)鍵基礎(chǔ)設(shè)施單位。

快速響應(yīng)與自動(dòng)化處置TI驅(qū)動(dòng)SOAR自動(dòng)執(zhí)行響應(yīng)劇本。2024年某三甲醫(yī)院接入TI聯(lián)動(dòng)平臺(tái)后，勒索軟件事件平均MTTR從4.6小時(shí)壓縮至22分鐘，響應(yīng)自動(dòng)化率達(dá)89%。

風(fēng)險(xiǎn)評(píng)估與防御策略優(yōu)化結(jié)合資產(chǎn)暴露面與TI生成動(dòng)態(tài)風(fēng)險(xiǎn)熱力圖。2025年上海某城商行應(yīng)用該模型后，高危漏洞修復(fù)率提升至96.5%，關(guān)鍵系統(tǒng)暴露面下降57%。

支撐合規(guī)審計(jì)與監(jiān)管報(bào)送TI庫(kù)滿足《網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0》第8.2.3條要求。2025年華訊網(wǎng)絡(luò)為上海市委網(wǎng)信辦支撐的23家單位提供TI溯源報(bào)告，100%通過年度攻防演練審計(jì)。威脅情報(bào)獲取途徑公開源情報(bào)（OSINT）整合政府公告（如CISAKEV）、開源社區(qū)（GitHub惡意樣本倉(cāng)庫(kù)）、安全廠商報(bào)告。2025年P(guān)hishTank日均新增釣魚域名1.8萬(wàn)個(gè)，華訊平臺(tái)實(shí)時(shí)同步率達(dá)99.4%。商業(yè)情報(bào)服務(wù)采購(gòu)微步在線、VirusTotal等商業(yè)API。2024年華訊網(wǎng)絡(luò)調(diào)用VirusTotalAPI超4200萬(wàn)次，識(shí)別新型Gozi木馬變種準(zhǔn)確率達(dá)94.3%，早于公開披露平均3.2天。內(nèi)部數(shù)據(jù)與蜜罐捕獲融合EDR日志、防火墻會(huì)話、蜜罐誘捕數(shù)據(jù)。2025年某能源集團(tuán)部署華訊蜜網(wǎng)后，捕獲NotPetya變種首次傳播樣本，提前48小時(shí)更新全網(wǎng)IPS規(guī)則。威脅情報(bào)全生命周期管理02情報(bào)生成階段

多源異構(gòu)數(shù)據(jù)采集同步接入APTGroupIOC、微步在線、PhishTank等12類主流源。2025年華訊平臺(tái)單日采集原始情報(bào)達(dá)870萬(wàn)條，覆蓋全球97%活躍APT組織最新IOC。

情報(bào)初篩與可信度標(biāo)注基于來(lái)源權(quán)威性（如CISA評(píng)分≥8.5）、時(shí)效性（72小時(shí)內(nèi)）、交叉驗(yàn)證（≥3源匹配）打標(biāo)。2024年平臺(tái)自動(dòng)過濾虛假IOC142萬(wàn)條，誤報(bào)率壓降至0.03%。情報(bào)處理階段標(biāo)準(zhǔn)化清洗與格式歸一將不同格式IOC（STIX/TAXII/CSV）統(tǒng)一轉(zhuǎn)為STIX2.1標(biāo)準(zhǔn)。2025年華訊平臺(tái)日均處理非標(biāo)數(shù)據(jù)210萬(wàn)條，字段標(biāo)準(zhǔn)化率達(dá)100%，支持秒級(jí)規(guī)則下發(fā)。關(guān)聯(lián)分析與上下文增強(qiáng)融合資產(chǎn)數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)拓?fù)鋱D構(gòu)建攻擊路徑圖譜。2024年某證券公司狩獵中，平臺(tái)將惡意IP與核心交易系統(tǒng)資產(chǎn)關(guān)聯(lián)，精準(zhǔn)定位3個(gè)高危暴露點(diǎn)。威脅實(shí)體畫像構(gòu)建聚合IP、域名、樣本哈希、攻擊手法形成APT組織數(shù)字畫像。2025年對(duì)APT41構(gòu)建含217個(gè)IOC、43個(gè)TTPs的動(dòng)態(tài)畫像，支撐客戶定制化防御策略。情報(bào)分析階段01威脅嚴(yán)重性動(dòng)態(tài)評(píng)估依據(jù)潛在影響（資產(chǎn)價(jià)值×暴露面）、攻擊難度（CVE評(píng)分×利用復(fù)雜度）建模。2025年評(píng)估Log4j2漏洞CVSS9.8分，觸發(fā)一級(jí)響應(yīng)，覆蓋華東區(qū)89家客戶。02攻擊路徑模擬與薄弱環(huán)節(jié)識(shí)別基于ATT&CK框架映射TTPs，生成攻擊鏈推演圖。2024年對(duì)某車企OT網(wǎng)絡(luò)模擬發(fā)現(xiàn)“橫向移動(dòng)”薄弱點(diǎn)5處，推動(dòng)其隔離工業(yè)控制網(wǎng)段。03風(fēng)險(xiǎn)預(yù)測(cè)與趨勢(shì)研判運(yùn)用LSTM模型分析IOC時(shí)序數(shù)據(jù)。2025年預(yù)測(cè)Q2針對(duì)醫(yī)療行業(yè)的勒索攻擊將增長(zhǎng)36%，實(shí)際發(fā)生增幅為34.2%，誤差僅±0.8%。04防御措施智能推薦匹配MITREATT&CK矩陣自動(dòng)生成緩解建議。2025年華訊平臺(tái)為某政務(wù)云客戶推送“禁用PowerShellv2”等17項(xiàng)加固指令，實(shí)施后橫向滲透嘗試下降91%。情報(bào)利用階段實(shí)時(shí)預(yù)警與態(tài)勢(shì)推送

通過企業(yè)微信/釘釘機(jī)器人秒級(jí)推送高危IOC。2025年國(guó)家網(wǎng)安周期間，華訊向上海地區(qū)217家單位推送APT29新C2域名預(yù)警，平均響應(yīng)時(shí)間1.3分鐘。應(yīng)急響應(yīng)劇本自動(dòng)觸發(fā)

TI命中即啟動(dòng)SOAR劇本。2024年某保險(xiǎn)公司遭遇Emotet感染，平臺(tái)自動(dòng)隔離終端、阻斷C2通信、提取內(nèi)存樣本，全程耗時(shí)89秒。安全防護(hù)策略動(dòng)態(tài)更新

自動(dòng)更新WAF規(guī)則、EDR信譽(yù)庫(kù)、防火墻ACL。2025年華訊平臺(tái)為某銀行日均推送策略更新237次，攔截惡意流量峰值達(dá)1.2Tbps。威脅狩獵假設(shè)自動(dòng)生成

基于TI生成可驗(yàn)證狩獵假設(shè)。2025年華訊為某芯片設(shè)計(jì)企業(yè)生成“檢測(cè)異常USB固件刷寫行為”假設(shè)，成功發(fā)現(xiàn)潛伏6個(gè)月的供應(yīng)鏈攻擊。反饋和更新階段情報(bào)有效性閉環(huán)驗(yàn)證將狩獵結(jié)果反哺TI庫(kù)進(jìn)行置信度重評(píng)。2024年某客戶確認(rèn)12個(gè)IOC真實(shí)有效，平臺(tái)自動(dòng)提升其來(lái)源權(quán)重至9.8分，后續(xù)推送優(yōu)先級(jí)提升40%。情報(bào)庫(kù)動(dòng)態(tài)迭代機(jī)制每日增量更新+每周全量校驗(yàn)。2025年華訊TI庫(kù)保持99.99%可用性，IOC平均生命周期從14天壓縮至5.7天，過期情報(bào)自動(dòng)下線率100%。經(jīng)驗(yàn)沉淀與知識(shí)復(fù)用將處置案例結(jié)構(gòu)化入庫(kù)。2025年累計(jì)沉淀“釣魚郵件溯源”“橫向移動(dòng)檢測(cè)”等37類狩獵模板，客戶復(fù)用效率提升3.2倍。威脅狩獵核心步驟03假設(shè)構(gòu)建

情報(bào)驅(qū)動(dòng)型假設(shè)基于APT組織最新TTPs構(gòu)建。2025年華訊分析Lazarus組織利用“偽Chrome更新包”手法，生成“檢測(cè)非常駐賬號(hào)下載Chrome安裝包”假設(shè)，在3家客戶環(huán)境命中。

情境驅(qū)動(dòng)型假設(shè)結(jié)合客戶業(yè)務(wù)場(chǎng)景建模。2025年針對(duì)某三甲醫(yī)院HIS系統(tǒng)，構(gòu)建“運(yùn)維時(shí)段外批量導(dǎo)出患者影像數(shù)據(jù)”假設(shè)，發(fā)現(xiàn)內(nèi)部人員違規(guī)導(dǎo)出行為。

分析驅(qū)動(dòng)型假設(shè)通過UEBA建立用戶行為基線。2024年某券商平臺(tái)識(shí)別到某員工賬號(hào)在凌晨2點(diǎn)高頻訪問冷備數(shù)據(jù)庫(kù)，偏離基線標(biāo)準(zhǔn)差達(dá)8.3σ，確認(rèn)為數(shù)據(jù)竊取。

跨域協(xié)同型假設(shè)融合監(jiān)管通報(bào)與行業(yè)情報(bào)。2025年上海網(wǎng)信辦通報(bào)某勒索團(tuán)伙新變種后，華訊聯(lián)合5家銀行客戶共建“檢測(cè)特定加密文件擴(kuò)展名組合”假設(shè)，首周捕獲12起攻擊。情報(bào)收集

多源數(shù)據(jù)融合采集整合主機(jī)日志（Sysmon）、網(wǎng)絡(luò)流量（NetFlow）、身份認(rèn)證（AD日志）、云平臺(tái)API調(diào)用。2025年華訊為某云服務(wù)商采集日均數(shù)據(jù)達(dá)42TB，覆蓋全部12個(gè)公有云區(qū)域。

高價(jià)值情報(bào)定向抓取聚焦APT組織關(guān)聯(lián)IOC。2025年華訊平臺(tái)自動(dòng)抓取與APT32（海蓮花）相關(guān)的1,842個(gè)域名/IP，其中17%在72小時(shí)內(nèi)觸發(fā)客戶環(huán)境告警。

實(shí)時(shí)情報(bào)流接入通過STIX/TAXII協(xié)議對(duì)接主流平臺(tái)。2024年華訊日均接收微步在線情報(bào)流210萬(wàn)條，延遲低于800ms，支撐亞秒級(jí)狩獵查詢響應(yīng)。異常檢測(cè)

基于行為基線的偏離檢測(cè)為每個(gè)用戶/主機(jī)建立動(dòng)態(tài)基線。2025年某制造企業(yè)檢測(cè)到PLC工程師賬號(hào)在非工作時(shí)間執(zhí)行37次SQL注入嘗試，偏離基線達(dá)12.6σ，確認(rèn)為APT植入。

多維關(guān)聯(lián)異常識(shí)別融合登錄時(shí)間、地理位置、設(shè)備指紋、訪問資源。2024年某高校發(fā)現(xiàn)同一賬號(hào)在1分鐘內(nèi)從北京、廣州、新加坡三地登錄教務(wù)系統(tǒng)，觸發(fā)高危告警。

無(wú)監(jiān)督機(jī)器學(xué)習(xí)檢測(cè)使用IsolationForest算法識(shí)別隱蔽行為。2025年華訊在某政務(wù)云發(fā)現(xiàn)某容器鏡像持續(xù)靜默連接境外IP，未觸發(fā)傳統(tǒng)規(guī)則，但被模型標(biāo)記為Top0.03%異常。分析研判

01攻擊鏈還原與歸因分析融合進(jìn)程樹、網(wǎng)絡(luò)連接、注冊(cè)表修改構(gòu)建完整KillChain。2024年NotPetya復(fù)盤中，華訊還原出烏克蘭MEDoc軟件供應(yīng)鏈投毒路徑，定位3個(gè)關(guān)鍵跳板機(jī)。

02TTPs匹配與威脅定級(jí)映射ATT&CK框架識(shí)別攻擊階段。2025年某銀行狩獵中，匹配到T1059.001（PowerShell命令執(zhí)行）、T1071.001（Web協(xié)議C2）等7個(gè)TTPs，定級(jí)為APT級(jí)威脅。

03影響范圍與業(yè)務(wù)關(guān)聯(lián)分析將技術(shù)指標(biāo)映射至業(yè)務(wù)系統(tǒng)。2025年某電網(wǎng)客戶發(fā)現(xiàn)惡意IP訪問SCADA系統(tǒng)接口，平臺(tái)自動(dòng)標(biāo)注關(guān)聯(lián)5個(gè)核心業(yè)務(wù)模塊，推動(dòng)緊急隔離。結(jié)果反饋

狩獵成果結(jié)構(gòu)化沉淀生成含IOC、TTPs、證據(jù)鏈、處置建議的PDF報(bào)告。2025年華訊向客戶交付狩獵報(bào)告平均含12.7個(gè)可驗(yàn)證IOC，93%被客戶直接導(dǎo)入SIEM系統(tǒng)。

檢測(cè)規(guī)則與情報(bào)庫(kù)反哺自動(dòng)提交新IOC至TI庫(kù)并生成YARA/Snort規(guī)則。2024年某客戶狩獵發(fā)現(xiàn)新型Mirai變種，生成的Snort規(guī)則上線后72小時(shí)內(nèi)攔截超210萬(wàn)次掃描請(qǐng)求。

流程優(yōu)化建議輸出分析狩獵瓶頸提出改進(jìn)項(xiàng)。2025年華訊對(duì)某保險(xiǎn)客戶分析發(fā)現(xiàn)日志留存不足導(dǎo)致溯源失敗，推動(dòng)其將EDR日志保留周期從30天延長(zhǎng)至180天。華訊網(wǎng)絡(luò)的實(shí)踐應(yīng)用04方法論基礎(chǔ)情報(bào)驅(qū)動(dòng)方法論以自建TI平臺(tái)+APTGroupIOC/VirusTotal等12個(gè)源為輸入，2025年華訊為某央企構(gòu)建“APT29TTPs→狩獵假設(shè)→驗(yàn)證”閉環(huán)，命中率82.3%。情境驅(qū)動(dòng)方法論基于客戶業(yè)務(wù)拓?fù)浣！?025年為某港口集團(tuán)構(gòu)建“集裝箱調(diào)度系統(tǒng)運(yùn)維賬號(hào)非工作時(shí)間訪問”假設(shè)，發(fā)現(xiàn)潛伏4個(gè)月的APT組織橫向滲透。分析驅(qū)動(dòng)方法論無(wú)線索時(shí)啟用UEBA+機(jī)器學(xué)習(xí)。2024年某基金公司零線索啟動(dòng)狩獵，通過行為基線發(fā)現(xiàn)某員工賬號(hào)持續(xù)導(dǎo)出ETF持倉(cāng)數(shù)據(jù)，挽回潛在損失超2億元。AI驅(qū)動(dòng)的工作流

01AI自動(dòng)化情報(bào)清洗NLP模型自動(dòng)剔除虛假IOC。2025年華訊AI清洗模塊日均處理780萬(wàn)條原始情報(bào)，冗余數(shù)據(jù)過濾率91.4%，高價(jià)值A(chǔ)PT關(guān)聯(lián)IOC聚焦準(zhǔn)確率96.8%。

02AI輔助狩獵假設(shè)生成大模型解析ATT&CK文檔生成假設(shè)。2025年華訊平臺(tái)為某車企生成“檢測(cè)CAN總線異常幀注入”假設(shè)，成功捕獲針對(duì)車載系統(tǒng)的0day利用。

03AI增強(qiáng)分析研判LLM自動(dòng)摘要分析過程。2024年某政務(wù)客戶狩獵報(bào)告生成時(shí)間從8小時(shí)壓縮至11分鐘，關(guān)鍵證據(jù)鏈提取準(zhǔn)確率94.7%。多源數(shù)據(jù)融合

主機(jī)行為與網(wǎng)絡(luò)流量融合交叉分析進(jìn)程創(chuàng)建+網(wǎng)絡(luò)連接。2025年某運(yùn)營(yíng)商發(fā)現(xiàn)某服務(wù)器進(jìn)程svchost.exe異常連接境外IP，同時(shí)發(fā)起DNS隧道，確認(rèn)為CobaltStrike植入。

身份認(rèn)證與終端日志融合關(guān)聯(lián)AD登錄日志與EDR進(jìn)程日志。2024年某銀行檢測(cè)到某運(yùn)維賬號(hào)在VPN登錄后立即執(zhí)行PowerShell腳本，觸發(fā)高危告警并阻斷。

云原生與傳統(tǒng)日志融合整合K8s審計(jì)日志與Sysmon。2025年某互聯(lián)網(wǎng)公司狩獵中，發(fā)現(xiàn)惡意容器鏡像在Pod啟動(dòng)時(shí)自動(dòng)下載挖礦程序，關(guān)聯(lián)云平臺(tái)API調(diào)用完成溯源。

IoT/OT設(shè)備日志融合接入PLC日志與SCADA報(bào)警。2024年某水廠檢測(cè)到PLC固件被篡改后觸發(fā)異常閥門開關(guān)序列，平臺(tái)自動(dòng)比對(duì)基線并告警，避免供水中斷。狩獵流程閉環(huán)假設(shè)→搜索→分析→反饋四步閉環(huán)2025年國(guó)家網(wǎng)安周上?；顒?dòng)中，華訊幫助32家客戶建立該閉環(huán)，平均單次狩獵周期從7.2天縮短至1.9天，閉環(huán)執(zhí)行率達(dá)100%。與事件響應(yīng)流程聯(lián)動(dòng)狩獵確認(rèn)即觸發(fā)SOAR劇本。2024年某證券公司狩獵確認(rèn)Emotet感染后，自動(dòng)隔離終端、封禁C2域名、推送EDR清除指令，全程耗時(shí)93秒。與漏洞管理流程聯(lián)動(dòng)狩獵發(fā)現(xiàn)未修復(fù)漏洞自動(dòng)創(chuàng)建工單。2025年某政務(wù)云狩獵發(fā)現(xiàn)Log4j2未打補(bǔ)丁主機(jī)，平臺(tái)自動(dòng)創(chuàng)建Jira工單并升級(jí)至P0級(jí)，4小時(shí)內(nèi)完成修復(fù)。典型行業(yè)場(chǎng)景案例及挑戰(zhàn)05典型案例介紹

金融行業(yè)：某國(guó)有銀行供應(yīng)鏈攻擊狩獵2025年華訊通過分析第三方支付SDK更新包，發(fā)現(xiàn)隱藏的C2通信模塊，追溯出APT29利用供應(yīng)鏈投毒，影響23個(gè)省級(jí)分行，狩獵響應(yīng)時(shí)間<15分鐘。

醫(yī)療行業(yè)：三甲醫(yī)院勒索軟件前置防御2024年基于醫(yī)療影像系統(tǒng)訪問模式建模，識(shí)別出異常批量加密行為，提前3天攔截LockBit4.0變種，避免21萬(wàn)份患者病歷被加密。

制造業(yè)：汽車零部件廠商0day利用狩獵2025年華訊在某車企OT網(wǎng)絡(luò)中，通過PLC日志異常指令序列檢測(cè)，發(fā)現(xiàn)針對(duì)西門子S7協(xié)議的0day利用，系國(guó)內(nèi)首例工業(yè)場(chǎng)景0day狩獵實(shí)戰(zhàn)。

政務(wù)行業(yè)：某市大數(shù)據(jù)局APT41溯源2024年結(jié)合APT41歷史TTPs與本地AD日志，構(gòu)建“異常LDAP查詢+橫向移動(dòng)”假設(shè)，成功定位其潛伏在政務(wù)云中的3個(gè)持久化后門。面臨的狩獵挑戰(zhàn)

高級(jí)持續(xù)性威脅（APT）隱蔽性強(qiáng)APT組織平均潛伏期達(dá)287天（2024VerizonDBIR）。華訊在某能源客戶狩獵中，發(fā)現(xiàn)APT41利用合法云服務(wù)（OneDrive）作C2，規(guī)避傳統(tǒng)DPI檢測(cè)。

內(nèi)部威脅行為難以建模2025年某券商內(nèi)部人員竊取交易算法，其行為完全符合權(quán)限規(guī)范，華訊通過UEBA基線偏離檢測(cè)（標(biāo)準(zhǔn)差11.2σ）才識(shí)別出異常。

多云混合架構(gòu)增加盲區(qū)客戶采用AWS+阿里云+私有云架構(gòu)，2024年華訊發(fā)現(xiàn)其阿里云日志未接入SIEM，導(dǎo)致攻擊者利用該盲區(qū)橫向滲透至核心數(shù)據(jù)庫(kù)。

威脅情報(bào)時(shí)效性不足2025年某制造企業(yè)遭遇新型勒索軟件，其IOC在公開情報(bào)源延遲披露4.7天，華訊通過蜜罐捕獲提前2.3天生成狩獵假設(shè)并攔截。應(yīng)對(duì)挑戰(zhàn)的策略

構(gòu)建動(dòng)態(tài)行為基線體系為每類資產(chǎn)建立獨(dú)立基線模型。2025年華訊為某電網(wǎng)客戶部署后，內(nèi)部威脅檢出率從31%提升至89%，誤報(bào)率壓降至0.07%。

打造全?？捎^測(cè)性平臺(tái)打通云管平臺(tái)、K8s、OT設(shè)備、終端EDR日志。2024年某車企實(shí)現(xiàn)100%資產(chǎn)日志覆蓋，狩獵盲區(qū)從37%降至0.8%。

建設(shè)本地化情報(bào)生產(chǎn)能力部署蜜罐+流量探針+樣本沙箱。2025年華訊在某政務(wù)云部署蜜罐集群，年捕獲新型惡意樣本1.2萬(wàn)個(gè)，IOC產(chǎn)出時(shí)效領(lǐng)先公開源平均3.8天。

推行紅藍(lán)對(duì)抗常態(tài)化機(jī)制每季度開展實(shí)戰(zhàn)化狩獵演練。2024年某省政務(wù)云通過紅隊(duì)注入APT29TTPs，藍(lán)隊(duì)平均檢出時(shí)間從142分鐘縮短至27分鐘，閉環(huán)率100%。威脅情報(bào)與狩獵的價(jià)值06提升企業(yè)安全監(jiān)控能力