安服

（一）背景
乙方安全團隊在為企業做安全服務的時候，通常會依賴於乙方自己的安全產品做服務。而一般來說，對於產品檢出的威脅，我們是需要分析人員去核查是否真的存在此類威脅，其中不免有些誤報。另一方面，威脅的泛濫在各企業大同小異，在這出現的威脅，在另一個企業可能也有，那麽分析人員在一個企業分析完威脅後，另一個分析人員在另外的企業也會分析同樣的，造成資源的浪費。
基於此我們提出希望搭建分析服務知識平臺，整合威脅信息，減少分析負擔。
總結的幾點：
（1）減少誤報的重復研判。
（2）減少威脅的重復分析。
（3）常見威脅的報告提取
（4）新出現的威脅查詢
知識庫平臺的搭建很大程度上是為了報告的輸出，大家都明白，企業匯報是需要報告的，而寫報告有時候是很耗人力的。

（二）知識庫主體設計

• 需要錄入的事件有：
  （1）誤報的錄入
  （2）安全事件的錄入
  （3）常見安全事件的錄入
  （4）最新安全事件的錄入

• 支持的關鍵字檢索字段有：

  病毒類型：（可以加上其他主流廠商的病毒名）
  樣本及衍生文件MD5值:（多個）
  網絡連接域名：（多個）
  網絡請求IP：（多個）
  病毒主體及衍生文件名：（多個）
  服務名：
  註冊表鍵值對：
  文件路徑：
  互斥量名：
  腳本：
  其他字符串：

• 威脅事件主體構成：

  事件基本信息，威脅日誌截圖，發生時間
  事件分析，樣本分析，傳播分析，溯源分析
  事件處置，處置威脅，加固方案

• 附件：

  提交給用戶的報告
  本次事件涉及的樣本HASH列表

  樣本單獨以HASH命令存放

  註意：威脅事件錄入後支持後續任意成員參與修改。

關於安全分析服務-知識庫平臺的初始設想