Question

威胁情报近几年很火，国外有不少开源的威胁情报源可供使用，国内也有少数企业从事这个领域的工作，比如微步在线、天际友盟等。具体使用方面各家基本都差不多，都是申请 API Key，然后调用相关 API 即可。涉及文件上传的则 POST 数据，如果只是查询某个 MD5、IP、域名则更简单，有些场合可能没集成的则需要手工查询。情报落地需要有针对性的应用场景，脱离场景谈情报都是空谈。

1.简单查询

企业通过构建各种安全系统，收集了一些可执行文件的哈希值、DNS 记录中的域名、网络访问中的 IP 等，如果需要做进一步判断，可以通过情报系统查询即可。

举个例子，分析 IIS 日志想找出异常，可以基于很多维度，包括返回码、UA、请求页面、发送字节数与返回字节数、来源 IP、访问时间等；而来源 IP 以往我们都根据 IP 所在地址，有了情报后还可以看这个 IP 是否为 SPAM、僵尸主机等信息。

再举个例子，Sysmon 采集了系统上进程创建的事件，包含进程文件的 SHA1 和 MD5 值，企业可以将这些信息汇总，建立自己的可执行文件 MD5 库，结合外部情报去看这些 MD5 是否有问题。笔者所在企业通过定制开发程序实现了可执行文件的采集工作，包括文件名、文件路径、哈希值、公司、签名、大小等信息，再对接外部多家情报系统查询结果进行判定，将可执行文件标记为可信、可疑、高危、未知等类型。程序上线初期就发现不少情报标识为高危的文件，但防病毒查杀不了，提交样本给防病毒厂商分析，更新病毒定义后才可以查杀。这也算是一个利用场景吧。

2.文件提交分析

遇到可疑文件，除了丢到本地沙箱进行分析外，还可以提交到情报系统中进行分析，结合情报系统上的多杀毒引擎一般可以很快得到结论。笔者前面在第 16 章中提到邮件附件经过沙箱后，如果判定为可疑则会自动提交到外部情报系统，即是一个使用场景。

3.内部情报系统建设

有些信息是企业内部通过日常积累发现的，若不想全部提交到外网或者提交不方便，可以考虑在企业内部建设情报平台。比如，前面说的可执行文件 MD5 库，即利用了多家情报的结果按自己的规则评分，并结合企业内部的实际需求（有些是企业内部程序，手工标识为可信），就可以创建一个系统供其他应用来查询使用。商业公司也有相应的方案，即在企业内网部署一套情报系统，此处不再赘述。