威脅情報在防護、溯源和響應領域有什么價值

威脅情報在防護、溯源和響應領域的價值體現在：

• 在防護領域價值：能在防護層面起到很好的作用，在提供基礎DNS解析服務基礎上，還具備安全增值的能力，能夠幫助企業攔截釣魚、勒索、挖礦等反連問題。當有惡意地址的請求出現，威脅情報會進行實時阻斷，并通知相關管理人員。

• 在響應領域價值：通過威脅情報能夠掌握威脅事件對應的家族、目的、相應的危害度，感染后的現象，并提供處置建議。只需利用特征分析，流量載荷研判，即可發現網絡失陷主機，自動化識別目的性黑客的攻擊意圖，及時進行自動阻斷，或聯動第三方安全設備，打通處置流程，幫助企業實現快速響應。

• 在溯源領域價值：主要是通過威脅情報追蹤IP、域名，發現攻擊者留下的痕跡，從而分析出攻擊者的TTPs戰略戰術及過程，一旦攻擊者的TTPs檔案建立，攻擊者的行為就很容易被追蹤到。而這樣的效果是很難通過SIEM、SOC等一般的安全產品短期內實現的。

回答所涉及的環境：聯想天逸510S、Windows 10。