Oracle现已提供威胁情报服务

Oracle云基础设施（OCI）现已提供威胁情报Threat Intelligence服务。

Oracle威胁情报服务是一项新服务，可为Oracle Cloud Guard（云卫士） 和云卫士的威胁检测器提供集成的、可操作的威胁情报，以帮助保护您在Oracle Cloud 中的关键资源。

Oracle威胁情报服务汇总了许多不同来源的威胁情报数据，并对其进行整理，为Cloud Guard和其他OCI产品中的威胁检测和预防提供可操作的指导。该服务包括来自Oracle精英安全研究人员和Oracle自己独特的遥测技术、开放的行业标准以及第三方合作伙伴的见解（例如CrowdStrike，一家网络安全公司），每天关联数万亿个安全事件，为安全端点（覆盖了各种工作负载、身份和数据等重要的资产）提供可操作的见解。

威胁情报的目标是通过增加对组织数字资源（即云资产）面临威胁的理解来推动明智的决策。威胁情报数据通常指的是入侵指标（IOC：Indicators Of Compromise），它是可以在系统和网络日志（例如域、URL、IP 地址和文件哈希）中找到的取证证据。威胁情报数据不仅可以减少平均检测时间（MTTD：Mean Time To Detect），而且还可以通过为响应者提供有关 IOC的上下文信息来帮助减少平均修复时间（MTTR：Mean Time To Remediate），从而使我们OCI用能够做出更明智、更快的决策。

例如：Cloud Guard可自动将各种日志和相关数据进行统一收集，并自动进行基于大数据的ML机器学习来进行评估风险，从而快速地给出相应的安全以及风险评分，并最终进行威胁问题的预警（如下图）。

检测到已知命令和控制节点的出站Web流量可能是违规的证据，就像用户从IP地址登录时发出警报一样，该IP地址与已知使用某些恶意软件的犯罪黑客组织有关联的历史记录。诸如此类的情报会通知事件响应团队在其主机上寻找该恶意软件的具体证据，以确定事件范围。

有目的地和可靠地使用威胁情报数据可能会给已经超负荷工作的安全运营团队带来负担。它可能需要采购、开发、验证、管理、存储和手动集成等系列工作——这可能需要更多的金钱和时间成本。而Oracle威胁情报服务是一种完全内置集成好的、可自动获取威胁情报的方法，无需额外费用。

Threat Intelligence Service目前已发布，并默认已经与云卫士及其Threat Detector集成好。不久的将来，Oracle还计划将该威胁情报服务与更多的其他OCI安全服务集成在一起，这将为客户在OCI主动防御上得到进一步的加强。

当您在租户中启用Cloud Guard时，威胁情报服务将开始把相关日志与已知的恶意IP等威胁情报进行相关联，并默认支持检测，例如可疑IP活动。

攻击对手在不断地发展和适应，仅依靠IOC匹配不足以检测威胁。因此，云卫士Threat Detector通过与MITRE ATT@CK框架对齐的机器学习平台（从攻击者的角度，并综合了具有经验的战术、技术以及攻击流程的平台）集成扩展了Cloud Guard现有的威胁检测功能。它可分析实时和历史事件以及来自威胁情报服务的数据，以生成相关的高保真的安全警报（称为目击事件）。如下图，是Cloud Guard 威胁检测器异常瞄准定位（Sighting）。

威胁情报服务是支持Oracle安全方法的关键组件，它为客户提供简单、规范和预置集成的安全性，并加强纵深防御。与Cloud Guard和Threat Detector的集成仅仅是个开始；我们将从网络边缘扩展到身份层继续启用防御威胁情报的功能，从而全面地去覆盖到各个层面的主动防御能力。

为了让Oracle管理威胁情报数据的摄取和管理可以减轻安全工程师的负担。威胁情报服务在摄取、消除冲突、规范化和处理数据上自动地分配了表示恶意的总体置信度分数。影响整体置信度分数的因素可能包括来源的质量、行为观察、目击频率和最新信息。尽管总体信心是一个时间点上评估，但我们还提供指标历史记录，为响应者提供上下文洞察，以加速警报分类和补救消除措施（见图 2）。

为了客户在OCI中获得威胁情报服务的价值，请先启用Cloud Guard。

该威胁情报服务与Cloud Guard进行了集成并实现了开箱即用的检测，因此启用Cloud Guard后将使得客户在云上的OCI资源得到自动的威胁检测和保护。

更多信息请参考文档：

https://docs.oracle.com/en-us/iaas/Content/threat-intel/home.htm
https://docs.oracle.com/en-us/iaas/cloud-guard/home.htm