SIEM 威胁情报：甲方运营视角与乙方交付视角

家人们

点击上方蓝字关注我

SIEM 通过收集、分析和关联不同安全设备和系统的日志数据，可以帮助企业实时监控网络安全状况，检测潜在威胁并快速响应。在此过程中，威胁情报（Threat Intelligence）作为 SIEM 的重要组成部分，可以提供关于威胁的背景信息、指标等，帮助企业更准确地识别和应对安全事件。

由于不同角色对威胁情报的需求和应用存在显著差异，本文将从甲方（企业内部安全运营团队）和乙方（威胁情报服务提供商）两个视角，探讨威胁情报在 SIEM 中的应用与实践。

我相信大家都经历过这种类似的场景：

甲方：你们都有什么样的数据？乙方：我们有blabla，其中xxx是我们的核心数据，其他家厂商没有，我们也和xx竞品厂商的情报数据做了对比，我们的情报质量要比他们高出xxxxx，具体表现在。。。。甲方：我知道你们的xx情报很厉害，但是对于我们来说的应用场景是什么？乙方：我们曾经利用xx数据发现多达xx起严重的安全事件，可见我们的情报价值甲方：但是这种场景对于我们来说是不存在的啊。。。

实际以上类似对话不仅常见于威胁情报，几乎全部乙方来推设备 or 新工具时的说辞都是类似...

不过通过这种对话，我们完全可以看出甲乙双方在需求和实际应用场景上的差异。甲方关注的是情报在其特定环境中的实用性，而乙方则强调其情报的普适性和高质量，但不一定能针对甲方的具体需求给出明确的解决方案。

在实际工作中，甲方在威胁情报的应用上有着特定的需求和关注点，除了关注特定场景之外，还需要在以下几个方面做出重点关注和投入：

1. 全面覆盖：涉及各种威胁类型（如恶意软件、网络攻击、内部威胁等）和攻击向量（如邮件、网络流量、端点设备等）的情报。

2. 可操作性：情报需要提供详细的威胁信息和处置建议，帮助安全团队快速有效地响应安全事件，而不仅仅是描述威胁。

3. 准确性和相关性：威胁情报必须准确且与企业的具体环境相关，以减少误报和漏报。

4. 时效性：情报数据会随着时间、攻击手法等因素变化，可能上周的情报本周就无效了，这里就需要针对威胁情报做运营，以管理威胁情报的生命周期。

5. 高敏感性：安全数据在分析和生成过程中会产生许多敏感信息，需要谨慎处理。

6. 优化安全策略：基于威胁情报分析结果，调整安全策略，增强整体安全防护能力。

不过话说回来，即使做到以上，也很难避免情报过载（常常面临情报信息过多，但真正有用的却寥寥无几），因此甲方的常见做法是采购商业情报 + 开源情报，统一优化并筛选，自动化关联场景并提供上下文级信息，最重要的是情报运营！威胁情报也是有生命周期的，举一个极端点的例子，两年前的某个漏洞 PoC 大概率在现在没法用了不是？

再有一个，乙方卖的大部分产品例如防火墙、AC之类属于通用型，各家买回去微调即可，但威胁情报可不一样，优秀的威胁情报一定是高度定制化的，乙方追求的情报成品和甲方追求的基于场景根据威胁情报解决安全问题是天然互斥的。

对于乙方而言，威胁情报的核心目标在于为客户提供"通用场景下"的威胁情报服务，扩大市场份额（一份情报可以卖给很多家客户），因此乙方在提供威胁情报服务时，关注点基本在这：

• 通用威胁场景分析： 乙方需要深入研究常见的网络攻击类型、攻击手法和目标，分析不同行业和规模的企业所面临的共性安全威胁，从而确定通用威胁情报的重点方向。

• 情报标准化与自动化： 乙方需要将威胁情报进行标准化处理，使其易于被不同 SIEM 平台识别和集成；同时，还需要开发自动化情报生成和交付工具，提高效率，降低成本。

• 情报质量与更新频率： 乙方需要确保通用威胁情报的准确性、时效性和相关性。这需要建立完善的情报收集、分析和验证机制，并保持高频率的情报更新，及时应对新的威胁。

• 支持、服务： 尽管通用威胁情报适用于大多数客户，但乙方仍需为客户提供必要的技术支持和服务，包括集成指导、使用培训、问题解答等，确保客户能够顺利使用情报。

• 通用场景与个性化需求的平衡： （可能需要）关注客户的个性化需求，如何在通用威胁情报的基础上，提供满足特定客户需求的定制化服务，是乙方需要解决的一个难题。

• 情报质量的持续提升： 随着攻击技术的不断演进，威胁情报需要不断更新和完善。乙方需要投入大量资源进行情报研究和技术创新，以保持情报的领先性和有效性。

• 市场竞争与价格压力： 威胁情报市场竞争激烈，乙方需要在保证情报质量的前提下，控制成本，提供具有竞争力的价格，才能在市场中立足。

甲乙方在威胁情报方面的结合需要建立在互信、互利的基础上。甲方应明确自身安全需求，与乙方充分沟通，共同制定情报需求方案。同时，甲方应积极与乙方共享安全事件数据，帮助乙方完善情报库。乙方则应提供高质量、与甲方 SIEM 系统兼容的威胁情报，并提供必要的技术支持和培训。双方应明确责任划分和风险承担，签订保密协议，确保情报共享的合法合规。此外，双方还应共同探索创新的合作模式，实现合作共赢。

威胁情报是企业安全运营的重要组成部分，甲方和乙方在SIEM威胁情报方面存在着不同的关注点和需求，通过合作，双方可以优势互补，共同提升威胁情报的价值和应用效果，尽可能减少情报信息过多，但真正有用的却寥寥无几情况。

点点赞 点点关注 点点文末广告 抱拳了家人们

创作不易

关注一下

帮忙点点文末广告

原文始发于微信公众号（imBobby的自留地）：SIEM 威胁情报：甲方运营视角与乙方交付视角