关于安全分析服务-知识库平台的初始设想

（一）背景
乙方安全团队在为企业做安全服务的时候，通常会依赖于乙方自己的安全产品做服务。而一般来说，对于产品检出的威胁，我们是需要分析人员去核查是否真的存在此类威胁，其中不免有些误报。另一方面，威胁的泛滥在各企业大同小异，在这出现的威胁，在另一个企业可能也有，那么分析人员在一个企业分析完威胁后，另一个分析人员在另外的企业也会分析同样的，造成资源的浪费。
基于此我们提出希望搭建分析服务知识平台，整合威胁信息，减少分析负担。
总结的几点：
（1）减少误报的重复研判。
（2）减少威胁的重复分析。
（3）常见威胁的报告提取
（4）新出现的威胁查询
知识库平台的搭建很大程度上是为了报告的输出，大家都明白，企业汇报是需要报告的，而写报告有时候是很耗人力的。

（二）知识库主体设计

• 需要录入的事件有：
  （1）误报的录入
  （2）安全事件的录入
  （3）常见安全事件的录入
  （4）最新安全事件的录入

• 支持的关键字检索字段有：

  病毒类型：（可以加上其他主流厂商的病毒名）
  样本及衍生文件MD5值:（多个）
  网络连接域名：（多个）
  网络请求IP：（多个）
  病毒主体及衍生文件名：（多个）
  服务名：
  注册表键值对：
  文件路径：
  互斥量名：
  脚本：
  其他字符串：

• 威胁事件主体构成：

  事件基本信息，威胁日志截图，发生时间
  事件分析，样本分析，传播分析，溯源分析
  事件处置，处置威胁，加固方案

• 附件：

  提交给用户的报告
  本次事件涉及的样本HASH列表

  样本单独以HASH命令存放

  注意：威胁事件录入后支持后续任意成员参与修改。