Documentație
Prezentare generală
Threat intelligence, cunoscut și sub numele de cyber threat intelligence (CTI), reprezintă informații acționabile despre amenințările cibernetice actuale și emergente care ajută…
Prezentare generală
Ce este Threat Intelligence?
Threat Intelligence reprezintă informații structurate despre amenințări cibernetice cunoscute sau suspectate, precum adrese IP malițioase, domenii suspecte, noduri de ieșire TOR și alți indicatori de compromitere. În CYBERQUEST, aceste informații sunt utilizate pentru a îmbogăți detecția, a îmbunătăți analiza evenimentelor și a sprijini identificarea mai rapidă a activității potențial malițioase.
Threat intelligence ajută echipele de securitate să răspundă la întrebări-cheie de investigare:
- Ce indicatori sunt asociați cu amenințări cunoscute?
- De unde provine activitatea suspectă?
- Care adrese IP sau domenii ar trebui monitorizate sau blocate?
- Cum poate contextul de amenințare să îmbunătățească analiza și răspunsul la alerte?
Valoarea Threat Intelligence
Threat intelligence ajută la transformarea datelor de securitate brute în context acționabil. În loc să analizeze evenimente fără informații de fundal, analiștii pot compara activitatea de rețea, jurnalele și alertele cu indicatori malițioși cunoscuți.
Beneficiile principale includ:
- Apărare proactivă: Permite organizațiilor să anticipeze și să se pregătească pentru amenințări înainte ca acestea să se materializeze, în loc să reacționeze pur și simplu la incidente după ce acestea au avut loc.
- Prioritizarea riscurilor: Ajută echipele de securitate să își concentreze eforturile asupra celor mai relevante amenințări cu impact ridicat pentru mediul lor specific.
- Răspuns mai rapid la incidente: Oferă informații contextuale care accelerează timpii de investigare și de răspuns în timpul incidentelor de securitate.
- Luarea deciziilor strategice: Sprijină deciziile la nivel executiv privind investițiile în securitate, managementul riscurilor și alocarea resurselor.
Setările Threat Intelligence în CYBERQUEST
Secțiunea de setări Threat Intelligence permite administratorilor să configureze și să gestioneze sursele de threat intelligence utilizate de CYBERQUEST. Aceste surse pot include feed-uri bazate pe IP, indicatori de domeniu, noduri de ieșire TOR și liste de blocare active.
Pentru a accesa această secțiune, accesați Settings > Application Settings > Threat Intelligence.

Zona de setări Threat Intelligence afișează categoriile de configurare disponibile, inclusiv:
- Geo Country - Gestionează datele de geolocalizare bazate pe țară.
- Geo City - Gestionează datele de geolocalizare bazate pe oraș.
- Threat Intelligence - Configurează feed-urile de threat intelligence.
- IOC IP - Gestionează indicatorii de compromitere bazați pe IP.
- IOC Domain - Gestionează indicatorii de compromitere bazați pe domeniu.
- TOR Exit Nodes - Monitorizează și gestionează nodurile de ieșire din rețeaua TOR.
- Active Blocked IPs - Întreține lista neagră activă de adrese IP blocate.
- Active Blocked Domains - Întreține lista neagră activă de domenii blocate.
Adăugarea unei surse de Threat Intelligence
Pentru a adăuga o nouă sursă de threat intelligence, faceți clic pe butonul
. Acest lucru deschide fereastra de configurare în care poate fi definită o nouă sursă.

Sunt disponibile următoarele câmpuri:
- Name - Definește numele sursei de threat intelligence. Folosiți un nume clar și descriptiv, astfel încât sursa să poată fi identificată cu ușurință ulterior.
- URL - Specifică locația feed-ului sau a fișierului sursă de threat intelligence. Aceasta poate fi utilizată pentru a prelua indicatorii care vor fi importați sau procesați de CYBERQUEST.
- Type - Definește formatul și scopul sursei de threat intelligence. Tipul selectat determină modul în care vor fi interpretate datele importate.
Tipurile de surse disponibile includ:
Classic Threat Intelligence IP List - Utilizat pentru liste de adrese IP, cu o adresă IP pe linie. Acesta este potrivit pentru liste externe sau interne de adrese IP suspecte sau malițioase.
CQ Threat Intelligence - Utilizat pentru sursele de threat intelligence CYBERQUEST.
TOR Exit Nodes - Utilizat pentru liste de adrese IP ale nodurilor de ieșire TOR, cu o adresă IP pe linie. Acești indicatori ajută la identificarea traficului asociat punctelor de ieșire din rețeaua TOR.
IOC IP - Utilizat pentru indicatori de compromitere bazați pe IP, cu o adresă IP pe linie. Acești indicatori pot reprezenta infrastructură malițioasă, servere de comandă și control sau sisteme controlate de atacatori.
IOC Domain - Utilizat pentru indicatori de compromitere bazați pe domeniu, cu un domeniu pe linie. Acești indicatori pot include domenii de phishing, domenii de distribuție a malware-ului sau domenii de comandă și control suspecte.
Gestionarea surselor de Threat Intelligence
După ce o sursă de threat intelligence este creată, administratorii o pot gestiona din interfața Threat Intelligence.
Acțiunile de gestionare disponibile pot include:
- Edit
- Actualizează configurația unei surse de threat intelligence existente. - Delete
- Elimină sursa de threat intelligence selectată din sistem. - Activate/Deactivate
- Activează sau dezactivează sursa fără a o șterge. - Run Threat Intelligence
- Execută manual sursa de threat intelligence selectată pentru a declanșa ingestia sau procesarea datelor.
Aceste opțiuni permit administratorilor să întrețină sursele de threat intelligence, să actualizeze indicatorii, să dezactiveze feed-urile neutilizate și să se asigure că datele de amenințare relevante sunt disponibile pentru fluxurile de lucru de detecție, îmbogățire și investigare.