以上描述的是平台最原始的查询需求。但这些内容并不能满足各类人员的需要。所以也要针对不同的人群,增加扩张甚至个性化的需求。扩展功能主要包括以下几类:1.提交主动样本。该功能主要解决要查询的文件不在查询平台数据库中的场景。主要有两种:多引擎扫描和沙箱。然后根据结果,产生一定的情报信息,属于上述基本信息。二是情报信息的丰富。该功能主要解决一些情报的简单性,给分析判断带来困难或实际工作困难的能力。看一个实际案例:一个甲方的安全运维工程师发现ids有一个可疑的ip报警,然后威胁情报平台。发现ip是海外ip,平台标签是恶意ip,后门。于是,安全运维人员立即切断了内网对ip的访问,然后检查了访问ip的终端。结果,没有发现任何异常,对某项业务也有一定的影响。
对于这一事件,最终的结论当然是对威胁情报“误判”造成的误处理事件。实际上,这种情况也是甲方安全运营人员、乙方安全运营人员等普遍存在的“困境”:这个情报正确吗?真的是xx木马吗?xx组织的攻击是真的吗?如果是xx攻击,如何指导甲方运维人员进行后续响应?当然,这也是运营级情报的通病。所以这里更需要战术级情报,或者更丰富查询到的情报信息。所以可以在以下几点进行改进:把端口作为一个必要的条件,比如ip+端口,domain+端口等。作为整体情报项目;ip或domain扩展到特定的url。丰富的情报信息包括上下文信息、TTPs、网络流量、相应的日志数据、攻击链中的样本等。用更多的信息让运营商确认是否与自己的场景一致;相应的指导建议,包括如何防御,如何监控,如何清理,如何加固等。
3.模糊输入或威胁挖掘能力。
乙方的安全运营人员和甲方某些部门的客户可能需要利用平台挖掘一些信息。因此,有必要输入一些模糊的条件来帮助这些人开始工作。可扩展以下维度:添加除特定iocs以外的非精确线索搜索,搜索结果为相应的文件hash列表或url信息:包括但不限于(均需支持模糊匹配):文件基础类:文件名、文件路径、二进制或串、多引擎结果信息等。文件格式化信息:如PE文件的pdb和数字签名;APK的包名和签名信息;文档类作者信息,包含宏内容等。文件行为类:沙箱日志或真实端收集的行为数据中的格式化行为信息。