实践｜病毒情报自动化闭环运营

一、什么是病毒情报

病毒情报（Virus Intelligence）指的是关于计算机病毒和恶意软件的信息和情报数据。它是针对恶意软件的研究、分析和监测的结果，用于了解和对抗不断变化和演化的威胁。

二、病毒情报对企业有什么用

病毒情报对企业来说是关键的安全资源，它提供了关于当前和新兴威胁的信息，帮助企业了解各种恶意软件、攻击向量和攻击手法。这使企业能够更好地了解威胁环境，并根据最新的威胁情报来改进其安全防御策略。

三、背景需求

正常情况下，企业的病毒情报依赖于安全厂家设备自带的 ioc，然后通过月度或者季度，或者牛一点的就每天对 ioc 库进行更新。那遇到新发现的病毒情报，厂家肯定无法实时更新然后同步到企业。所以我决定自己动手。

然后我的思路是这样的, 通过以下四个步骤来完成我的自动化闭环运营。

四、实践

开始动手起来。首先肯定是获取情报源，然后进行评估，再确认。

1、获取情报源。

目前我使用的源是 MalwareBazaar 跟 Abuseipdb ，当然后续有新的或者更好的还会不断添加。

2、为什么使用他们？

• MalwareBazaar：

它是一个公开的恶意软件样本库和情报平台，我们可以访问大量的恶意软件样本，并与其他专业人士共享他们的分析结果和发现，这种协作和知识共享的方式有助于更好地了解恶意软件的行为。它不仅提供了恶意软件样本的下载，还包含了样本的元数据、文件哈希值、IOC 等信息。最重要的是，支持 API。

• 抽样评估：

从 MalwareBazaar 抽取其中一个 ioc，时间：2023-02-07 01:45:50