威胁情报

官方文档：https://medium.com/mitre-attack/getting-started-with-attack-cti-4eb205be4b2f

威胁情报用例是类似于国内微步X情报社区这种的威胁情报分享平台。

将各大APT组织进行分类，标清其攻击范围和行业，以及攻击方法，公司可以根据攻击方法进行专业防御。

复杂程度分为三级： 一级适合刚刚起步，没有太多资源的 二级适合有一定基础，但技术方面并不成熟 三级适合拥有更先进的网络安全团队和资源的人或组织

一级

只是在ATT&CK官方平台的group资源里面，可以进行搜索特定的apt组织，或者搜索所在行业查询是哪些apt组织的目标。

在apt组织页面详情里面，可以针对攻击方式采取防御措施

二级

有一个专门的威胁分析团队，定期审查攻击的信息，并归纳apt组织的信息，可以将收集的信息存放至自己的ATT&CK里面，不用公开的信息。

主要有以下几个过程： 1、了解ATT&CK

熟悉 ATT&CK 的整体结构

2、发现行为 从更广泛的角度考虑对手的行为，而不仅仅是他们使用的基础指标（如 IP 地址）。

3、研究攻击行为

4、将行为转化为策略

考虑对手针对该行为的技术目标，并选择适合的策略。好消息是 Enterprise ATT&CK 中只有14 种战术可供选择。

5、找出解决攻击行为的方法 ATT&CK网站里面有一些示例

6、将收集的结果与其他ATT&CK分析师共享比较 单个人对行为的解释可能与其他分析师不同。这是正常的，并且在 ATT&CK 团队中一直发生

三级

拥有更高级的安全团队，可以自建ATT&CK模型，并根据自建模型来确定防御方式。