浅谈：安全狗·观鸿：基于云端的威胁情报分析_0

　　然而，随着攻击者的不断创新，企业需要越来越多的了解威胁的本质、意图、技术和造成损害的能力，SIEM的局限性开始显现。

　　原始噪音太多

　　SIEM的一个重大困难在于其中输入的数据需要大量的过滤。如果过量的威胁元数据进入SIEM，可能会产生大量的误报，降低SIEM性能，也会强烈干扰监控和事件响应团队。此外，当无效的原始威胁信息流开始并入到SIEMluxology中，它就无法分别情报的好坏;如果SIEM都无分辨，用户又如何做到呢?

　　知己欠缺知彼：

　　虽然SIEM可以关联事件，或分析可疑或恶意活动，精确定位威胁。但是它缺乏专注于对手的意图或基于过去观察到的行为显示入侵者下一步可能做什么的能力。

　　只对已知威胁有反应

　　SIEM通常只能识别和标记已知威胁，无法在恶意行为之前提前采取行动时;如果使用新的技术或工具来抵御企业的检测，SIEM本身是无法检测到的。

　　SIEM本身是很优秀的工具，但如何将它采集到的数据进行更好的利用，是我们更应该关心的问题，这里，有必要引入一个新的概念：威胁情报分析。

　　根据Gartner的定义：威胁情报分析是指基于一定知识的证据，已经存在或正在形成的潜在威胁，比如，上下文、机制、指标、意义以及可实施的建议，利用这些，可以帮助当事人形成应对这些危险的决策。

　　通常在网络攻击发生时或发生后，对于企业来说，有几个问题是必须要弄明白的：攻击者是谁?什么时候遭受什么样的攻击?是否有定向攻击?损失了什么?

　　威胁情报平台可以帮助企业完成超过企业自身能力的、需要耗费大量劳动力的威胁情报分析。威胁情报平台是一个动态系统，从许多不同的来源自动采集威胁数据，然后将该数据相互关联，将其丰富，并将其无缝与基础安全设施联动。使用合理，威胁情报可以增强检测和响应能力，节省时间，并帮助企业做出更好的战略安全决策。

　　安全狗·观鸿威胁情报服务平台可以通过收集到的信息，将不同的线索拼成全貌，从头到尾跟踪整个事件，通过报告指导安全响应并进行阻断，从而快速发现真正的威胁并解决问题，节省追踪传统SIEM产生的误报所花的大量时间。

　　安全狗威胁情报服务平台可以帮助用户做到：

　　日志、事件和数据的进一步分析

　　自动收集汇总日志和智能化解析，减轻运维管理中日志查询搜索的巨大工作量;全面系统化日志分析，满足日常运维需要，从安全角度分析海量日志数据，深层次挖掘攻击事件

　　建立企业自身威胁知识库

　　帮助企业了解网络犯罪分子的工具、流程、受害者和预期目标，轻松将来自过去的攻击者活动的信息与当前的信息进行关联，并从过去的攻击中学习，主动阻止攻击者当前和未来可能的攻击。

　　优化企业安全投资

　　利用内置的工作流程，威胁情报平台也可以将更智能的做法转移到其他入侵检测安全工具中。

　　根据企业网络环境生成和优化情报

　　相较于SIEM，威胁情报分析增加了上下文信息等指标，使企业能够更好地了解威胁的性质，对企业的风险更有效地做出全面的反应，帮助企业从战略上挫败攻击者，而不是玩打地鼠的游戏。

　　形成主动防御

　　隐藏的安全威胁弥散在互联网的各个角落，威胁情报服务平台提供了一种途径，让安全团队可以越过自身的网络，寻找新的线索和联系，并发现新的相关的情报，帮助企业变被动防御转为主动防御。

　　安全狗·观鸿威胁情报服务平台依托安全狗海量的互联网攻防数据，包括威胁、漏洞、安全事件以及基础数据等，利用大数据进行关联分析，为用户识别、防御、溯源安全威胁提供了威胁情报服务，弥补了传统设备和方案都是静态防御的局限，帮助客户快速、果断的采取行动，从而更加高效地对抗持续变化和不断升级的攻击手段，提升与黑客团队攻防对抗的技术优势。

　　安全狗全网保护的(云)服务器设备遍布DIN标准带传动资料全球各地，每天持续拦截到海量的各种类型攻击。在针对这些攻击分析的基础上，安全狗累积了autodesk-inventor船舶图纸大量有价值的海量、持续且多维的数据;通过安全狗云中心分析以及安全工程师分析后沉淀为安全狗威胁情报能力，并最终输出给安全狗服云的用户。基于情报驱动的安全管理平台，才能更好地让用户的安全管理变得主动、可视、可防、可知。