evaluating-threat-intelligence-platforms

评估威胁情报平台

适用场景

在以下情况下使用本技能：

• 为 TIP 解决方案开展正式的招标（RFP）或供应商评估
• 评估当前 TIP（如 MISP）是否随 CTI 项目规模扩展而需要替换或扩充
• 建立符合组织成熟度和预算的评估标准

请勿使用本技能独立评估推送质量——推送评估是专注于数据质量而非平台能力的独立工作流。

前置条件

• 已记录的 CTI 项目需求：团队规模、推送来源、集成目标、使用场景
• 预算范围和采购时间表
• 将管理平台的技术人员（开源 TIP 需要 Python/API 经验）
• 当前和计划中的集成列表（SIEM、SOAR、EDR、防火墙）

工作流程

步骤 1：定义评估标准

将需求分为必须（M）和期望（D）两类：

核心 TIP 功能：

• M：STIX 2.1 导入/导出，带 TAXII 2.1 服务器
• M：用于自动化 IOC 摄取和导出的 REST API
• M：指标去重和 TTL 管理
• M：TLP 分类强制执行
• D：内置 MITRE ATT&CK 集成和技术标记
• D：指标关系的图可视化
• D：分析师分流的工作流自动化

集成：

• M：SIEM 集成（Splunk、Sentinel、QRadar），通过 syslog、API 或原生连接器
• M：EDR 集成，用于 IOC 推送（CrowdStrike、Defender、SentinelOne）
• D：SOAR 集成（XSOAR、Splunk SOAR），用于剧本触发
• D：工单系统（ServiceNow、Jira），用于情报任务跟踪

运营：

• M：基于角色的访问控制，支持 TLP 感知数据隔离
• M：所有分析师操作的审计日志
• D：多租户，适用于 MSSP 使用场景

步骤 2：评估主要 TIP 选项

MISP（开源）：

• 费用：免费（仅需自托管基础设施费用）
• 优势：最大社区、250+ 模块、广泛的 ISAC 使用、原生 STIX 2.0
• 劣势：需要专职管理员、可视化有限、界面较旧
• 最适合：技术人员充足的预算受限团队；政府/ISAC 共享项目

OpenCTI（开源）：

• 费用：免费（自托管）；付费 SaaS 约 3,000–15,000 美元/年
• 优势：原生 STIX 2.1、图可视化、ATT&CK 集成、现代 API
• 劣势：部署资源密集（需要 Elasticsearch、MinIO）
• 最适合：希望使用现代 UX 开源平台的团队；SOC/CTI 集成重点

ThreatConnect（商业）：

• 费用：5–50 万美元/年，具体取决于规模
• 优势：端到端 CTI 生命周期、剧本自动化、TC Exchange 市场、分析师工作流
• 劣势：费用高；实施复杂；大规模时性价比最优
• 最适合：成熟的企业 CTI 项目；MSSP；红队/蓝队集成

Anomali ThreatStream（商业）：

• 费用：3–20 万美元/年
• 优势：强大的推送聚合、Splunk 原生集成、丰富的预建连接器
• 劣势：图可视化弱于 OpenCTI；界面更新滞后
• 最适合：Splunk 密集型环境；优先考虑推送量而非分析工作流的团队

EclecticIQ Platform（商业）：

• 费用：4–30 万美元/年
• 优势：原生 STIX 2.1、协作情报工作台、欧洲客户群体较大
• 劣势：合作伙伴生态系统小于 ThreatConnect
• 最适合：以 MITRE ATT&CK 为中心工作流的团队；EMEA 区域组织

步骤 3：开展概念验证

向入围供应商申请 30 天 PoC。测试：

1. 推送接入：能否在 4 小时内摄取您的前 5 个推送？
2. SIEM 集成：富化后的 IOC 能否在 5 分钟内推送到 SIEM？
3. ATT&CK 映射：分析师能否高效地为指标打上 ATT&CK 技术标签？
4. 报告生成：平台能否一键生成战术性 IOC 公告？
5. API 性能：REST API 能否处理每天 10,000 个指标查询？

步骤 4：评分与选择

使用加权评分矩阵（按组织优先级为每个标准分配权重）：

评估标准              权重     供应商 A   供应商 B
STIX 2.1 合规性      20%       95         85
SIEM 集成            25%       90         70
ATT&CK 映射          15%       85         95
成本（反向）          20%       60         90
界面/分析师体验      10%       80         75
供应商支持质量       10%       85         80
总计                 100%      82.0       81.5

步骤 5：实施与入职规划

规划 90 天实施计划：

• 第 1–2 周：基础设施部署（云或本地）
• 第 3–4 周：推送接入和去重调优
• 第 5–6 周：SIEM/SOAR 集成与测试
• 第 7–8 周：分析师工作流配置和培训
• 第 9–12 周：运营验证和上线

核心概念

术语	定义
TIP	威胁情报平台——用于收集、处理、分析和分发网络威胁情报的软件
TAXII 服务器	TIP 的组件，按需向消费系统提供 STIX bundle
TC Exchange	ThreatConnect 的商业市场，提供预建推送集成和应用连接器
多租户	TIP 为多个组织单位或客户提供隔离数据环境服务的能力
去重	识别并合并 TIP 内重复指标，以减少分析师噪音的过程

工具与系统

• MISP：被 6,000+ 组织使用的开源 TIP；最强的 ISAC/政府社区集成
• OpenCTI：具有原生 STIX 2.1 和基于图谱分析的现代开源 TIP
• ThreatConnect：具有生命周期管理和 SOAR 剧本集成的企业商业 TIP
• Anomali ThreatStream：具有强大 Splunk 生态系统集成的商业 TIP
• EclecticIQ：以 ATT&CK 为中心工作流设计的商业 TIP

常见陷阱

• 在定义需求前选择 TIP：在用例定义前进行技术选型会导致代价高昂的不匹配。
• 低估管理负担：MISP 和 OpenCTI 需要专职管理员时间（最少 0.25 FTE）；需相应预算。
• 忽视数据迁移成本：将历史情报从一个 TIP 迁移到另一个代价高昂，对旧系统通常不可行。
• PoC 期间未测试 SIEM 集成：TIP 价值在很大程度上取决于下游集成质量；评估期间务必测试 SIEM/SOAR 连接。