goubx/External-Threat-Intel-Feed-Evaluation
GitHub: goubx/External-Threat-Intel-Feed-Evaluation
该项目对五个免费公共威胁情报源进行基于实际告警数据的量化评估,为MISP和Microsoft Sentinel集成提供数据驱动的优先级排序建议。
Stars: 0 | Forks: 0
# 外部威胁情报源评估
基于一致的标准对五个免费的公共威胁情报源进行评估,为 SOC 集成至 MISP 和 Microsoft Sentinel 提供数据驱动的优先级排序。
## 项目概述
免费的公共威胁情报源无需任何许可成本,即可覆盖恶意软件基础设施、僵尸网络 C2、被利用漏洞以及检测规则。本项目评估了五个候选情报源,并基于 90 天的 SIEM 告警观察数据,提供了有据可依的优先级集成建议。
## 评估的情报源
- Abuse.ch URLhaus
- Abuse.ch Feodo Tracker
- AlienVault OTX (LevelBlue)
- Emerging Threats Open
- CISA Known Exploited Vulnerabilities (KEV)
## 评估标准
- 提供的指标类型(IP、域名、URL、哈希值、CVE、YARA、规则)
- 更新频率
- 集成难度(MISP 和 Microsoft Sentinel)
- 与观察到的威胁概况的相关性
- 许可和 TLP 处理
## 评估方法
每个情报源在两个维度上按 1 到 5 分进行评分:
- **集成难度**:基于 MISP 和 Sentinel 的文档化集成路径(原生 connector、默认 MISP feed、TAXII、Logic App 或不支持)
- **相关性**:基于 90 天的 SIEM 告警观察数据,将每个情报源的指标覆盖范围映射到环境中实际存在的威胁类别
综合得分根据评分标准映射到优先级层级。
## 主要发现
- **AlienVault OTX 在相关性上得分最高**,因为其社区 pulse 直接涵盖了凭证攻击基础设施,而这正是观察到的威胁概况(暴力破解、密码喷洒、不可能旅行、RDP 扫描)的主要构成部分。
- **URLhaus 在集成难度上得分最高**,这得益于其原生的 TAXII 2.1、预构建的 MISP JSON 导出以及可用的 Suricata 规则,但由于基于 URL 和域名的威胁并不属于顶级告警类别,其相关性得分仅为中等。
- **Emerging Threats Open 在没有网络传感器层的情况下对 Sentinel 价值有限**,因为它提供的是 Suricata/Snort 检测规则,而不是原始指标。Sentinel 无法原生接收它。
- **CISA KEV 更适合用于漏洞管理,而非 SIEM 威胁情报**,因为它发布的是带有利用标记的 CVE,而不是 IOC。建议将其路由至漏洞管理工作流。
- **Feodo Tracker 与观察到的环境匹配度较低**,并且在研究期间观察到其带有“空数据集”横幅。如果威胁态势向恶意软件 C2 活动转变,建议重新评估。
## 最终优先级排名
| 优先级 | 情报源 | 理由 |
|----------|------|-----------|
| P2 | URLhaus | 集成难度最高;相关性中等 |
| P2 | AlienVault OTX | 与观察到的威胁相关性最高 |
| P3 | CISA KEV | 路由至漏洞管理,而非 SIEM 威胁情报 |
| P3 | Emerging Threats Open | 在没有网络传感器层的情况下降级处理 |
| P3 | Feodo Tracker | 当前匹配度低;若威胁态势改变则重新评估 |
## 交付成果
- [评估矩阵 (Excel)](deliverables/evaluation-matrix.xlsx)
- [演示文稿 (PowerPoint)](deliverables/presentation.pptx)
- [评分标准](methodology/scoring-rubric.md)
## 截图
矩阵、评分标准和建议幻灯片的截图可在 [screenshots/](screenshots/) 文件夹中查看。
## 展示的技能
- 威胁情报源评估与评分
- MISP 和 Microsoft Sentinel 集成分析
- 用于告警数据分析的 KQL 查询开发
- 评估矩阵设计和评分标准制定
- 数据驱动的优先级排序和分析师级交付成果制作
## 工具与平台
- Microsoft Sentinel (KQL, SecurityAlert 表)
- MISP(feed 配置参考)
- Google Sheets(评估矩阵)
- Microsoft PowerPoint / Google Slides(演示文稿)
## 作者
**Mohamed Yagoub**
[LinkedIn](https://linkedin.com/in/mohamed-yagoub/) | [GitHub](https://github.com/goubx)
标签:Microsoft Sentinel, 代码示例, 威胁情报, 安全运营中心, 开发者工具, 数据分析, 网络映射