威胁情报源收集

概述

KYRA MDR 与领先的威胁情报源集成，自动收集入侵指标（IOC）— 恶意IP、域名、文件哈希、URL和电子邮件地址。这些指标与您环境中的安全事件持续关联分析，以实时检测已知威胁。

TI收集系统采用调度器驱动模型运行：每个源都独立配置同步间隔、API凭据和状态跟踪。平台每5分钟检查需要同步的源并自动获取新指标。

支持的源类型

源类型	说明	数据来源
AlienVault OTX	Open Threat Exchange — 社区驱动的IOC共享	订阅脉冲、IP/域名/哈希声誉
AbuseIPDB	IP滥用报告和黑名单	带置信度分数的黑名单IP
VirusTotal	恶意软件分析和URL扫描	文件哈希、URL、域名声誉
MISP	Malware Information Sharing Platform	STIX 2.1格式的威胁事件
Custom STIX	STIX 2.1 JSON源URL	STIX包中的指标
Custom CSV	CSV格式指标源	包含严重性和标签的解析指标

工作原理

flowchart LR
    FEEDS[外部源] -->|API调用| SCHEDULER[源调度器]
    SCHEDULER -->|每5分钟检查| SYNC[同步引擎]
    SYNC -->|解析 & 验证| UPSERT[IOC数据库]
    UPSERT -->|关联分析| ALERTS[告警引擎]
    ALERTS -->|增强告警| CONSOLE[管理控制台]

收集流程

配置 — 分析师通过管理控制台（威胁情报 → 源选项卡）配置源类型、API密钥和同步间隔。
调度 — 源调度器每5分钟运行一次，检查每个启用源的最后同步时间 + 间隔。仅同步需要更新的源。
摄取 — 对每个需要同步的源：
- 使用配置的凭据调用源API
- 解析响应（JSON、STIX 2.1或CSV格式）
- 验证每个指标（IPv4格式、域名格式、哈希长度等）
- 更新插入到租户范围的IOC数据库
增强 — 收集的IOC自动用于：
- 为告警添加威胁上下文（严重性、置信度、标签）
- 与传入日志事件进行基于IOC的检测关联
- 在管理控制台提供按需查询结果
生命周期 — 每个指标有有效期（validFrom / validUntil）。过期指标每天凌晨3点自动清理。

源管理

添加源

导航至威胁情报 → 源选项卡，点击添加源：

字段	说明
源名称	源的显示名称（例如：“AlienVault OTX”）
源类型	从支持的类型中选择
源URL	自定义源必填；内置类型自动配置
API密钥	源提供商的认证密钥
同步间隔	数据获取频率（15分钟、30分钟、1小时、6小时、12小时、24小时）
启用	激活/停用源的开关

源状态

状态	含义
活跃（绿色）	源已启用且最后同步成功
同步中（黄色）	同步正在进行
错误（红色）	最后同步失败 — 查看源卡片上的错误详情
非活跃（灰色）	源已禁用

API密钥安全

API密钥绝不会在API响应或UI中暴露
控制台仅显示掩码提示（例如：****abcd）
密钥存储在服务器端，仅在源同步调用时传输
每个源的凭据在租户范围内隔离

指标类型

类型	示例	验证
IPv4	`185.220.101.34`	标准点分十进制
域名	`login-microsoftonline.tk`	RFC兼容域名
哈希（MD5）	`d41d8cd98f00b204e9800998ecf8427e`	32位十六进制
哈希（SHA-256）	`a1b2c3d4e5f6...`（64位）	64位十六进制
URL	`https://malware.example.com/payload`	含协议的完整URL
邮箱	`phishing@evil.example.com`	电子邮件格式
CVE	`CVE-2024-3400`	CVE-YYYY-NNNN+格式

权限

操作	所需权限
查看源和IOC	`threat_intel:read`
添加/编辑/删除源	`threat_intel:write`
触发手动同步	`threat_intel:write`
手动添加IOC	`threat_intel:write`

所有数据都是租户隔离的 — 每个租户的源和IOC完全分离。

快速入门

在侧边栏选择威胁情报
点击源选项卡
选择一个源（例如：AlienVault OTX）并点击编辑
输入API密钥并设置同步间隔
切换启用并保存
点击立即同步触发首次收集
切换到指标选项卡查看收集的IOC