什么是威脅情報

威脅情報是某種基于證據的知識，包括上下文、機制、標示、含義和能夠執行的建議，這些知識與資產所面臨已有的或醞釀中的威脅或危害相關，可用于資產相關主體對威脅或危害的響應或處理決策提供信息支持。一般威脅情報需要包含威脅源、攻擊目的、攻擊對象、攻擊手法、漏洞、攻擊特征、防御措施等。威脅情報在事前可以起到預警的作用，在威脅發生時可以協助進行檢測和響應，在事后可以用于分析和溯源。

主要的威脅情報標準如下：

• STIX：Structured Threat Information eXpression (STIX)，結構化的威脅信息表達，當前為2.0版本，主要定義了威脅對象和關系。

• TAXII：Trusted Automated eXchange of Indicator Information (TAXII)，定義了一個應用層協議用于威脅指標信息交換。

• CybOX：Cyber Observable eXpression (CybOX)，網絡指示器表達，定義了包括域名、IP、文件、證書、網絡連接等。CybOX后續整合到STIX 2.0中。

• MAEC：Malware Attribute Enumeration and Characterization (MAEC)，專門用于對惡意代碼屬性的枚舉和特征。

回答所涉及的環境：聯想天逸510S、Windows 10。