威胁情报库建设

持续性建设模式成为了现在企业安全的一个大方向，其中情报常常成为安全建设的中心。本篇内容总总结威胁情报库建设相关内容。

让我们先来回顾一下威胁情报的定义：

SANS：针对安全威胁、威胁者、利用、恶意软件、漏洞和危害指标、所收集的用于评估的应用数据集。

威胁情报的本职是一个数据集，针对数据集我们不免会发问：如何获取、如何分析、如何存储、如何共享、如何应用

建设威胁情报库主要就是要解决其中：如何生产、如何存储、如何共享的问题，如果用威胁情报的生命周期来定义，我们所需要解决的步骤有：制定情报计划，情报收集，威胁情报预处理与利用环节，威胁情报分析与生产，情报输送，威胁情报的计划优化与修订。

一些方案

图：威胁情报上下游对接[1]

图：现有威胁情报库层级[1]

[1] 威胁情报的私有化生产和级联：威胁狩猎及情报共享, [狴犴安全团队 ], (https://www.freebuf.com/author/狴犴安全团队) https://www.freebuf.com/articles/es/222359.html

[2] 威胁情报平台分享, 我不是大神, https://zhuanlan.zhihu.com/p/101978718