威胁情报驱动：F3EAD 之查找

“查找”这一阶段决定着情报和事件响应活动的起点。在传统F3EAD循环的“查找”阶段，通常需要找出特定行动组织所觊觎的高价值目标，而情报驱动事件响应的F3EAD循环的“查找”阶段，则需要找出事件响应所针对的对手。

假设有一起攻击行动正在进行之中，你可能自己发现了端倪，也可能从别人那里得到一些初始线索，打算据此对该事件深入调查；又假设在某次威胁猎杀的过程中，你准备检测内网的异常活动。无论是哪种情况，你都需要先知道要找什么，才有可能把它找出来。

在“查找”阶段可以采取的方法有很多。具体采取哪种方法，取决于情况或事件的性质或需要调查的对象。不同的方法还可以组合使用，力求不漏掉任何蛛丝马迹。

一、围绕攻击者查找目标

如果已经掌握攻击事件幕后操纵者的可靠资料，或者需要对外提供特定攻击组织的相关情况，就可以围绕攻击者来查找目标。

围绕攻击者开展调查，就像是拆旧毛衣——找到几根线头，然后开始逐一拉扯。这些线索可以让你洞察攻击者曾对你使用了哪些战术和手段，进而知道还需要调查哪些线索。调查结果令人期待，但调查过程却充满挑战。你无法知道哪条线索是揭开真相的关键，只能不断地尝试。最后，意外地从某个角度给整个调查带来重大突破。坚持不懈，这就是围绕攻击者展开调查的成功之道，另外也需要几分运气。

攻击者与自然人

辨识攻击者身份是一件有趣的事。我们常说的“他们”或者“对手”，显然都是指躲在攻击事件幕后的那些家伙。但只在个别情况下，我们才会借以指代攻击者的自然人身份。我们所说的攻击者，差不多都是指对手在攻击行动中扮演的角色。为了达到攻击目的，对手会使用不同的战术、手法和过程（TTP）。我们把这些对手分门别类，并在脑海中赋予他们不同的人格，这样，人们就能听懂故事里在讲什么了。这只是一种抽象的说法，毕竟我们通常无法知道对手是一个人，还是一个大型攻击组织。根据不同的战术、手法和过程，以及不同的攻击目的，我们把这种依赖TTP和目标抽象而成的对手统称为攻击者，并不在乎对手的实际人数。

事件响应人员在开展深入调查时，有时会大致知道攻击事件的幕后黑手。这方面的线索可以从多种信息源获得。例如：有人在地下论坛出售被窃数据，或者有第三方在早期预警中提供了一些攻击者情况。至少要掌握一点儿攻击者的详细资料，才好在“查找”阶段围绕着攻击者查找目标。

围绕攻击者查找目标的第一步，就是验证所掌握的攻击者资料是否可靠。你的企业是否被攻击者视作攻击目标？他们为什么会瞄准你的企业？我们不妨设计一个威胁模型，指导我们站在攻击者视角看待攻击目标，发现潜在威胁。这个模型不但可以提高我们对于潜在威胁的发现速度，还可以帮助我们分辨数据类别，并为那些可能成为攻击目标的数据设置访问权限。这类信息也可以作为“查找”阶段的输入条件，可供事件响应人员检索攻击者的活动迹象。

在调查过潜在或疑似攻击者之后，就算你依然无法掌握攻击者的确切资料，也还是可以借助威胁模型，围绕攻击者查找目标。在数以百计的犯罪分子、激进分子和间谍组织之中，真正对你的企业有兴趣的组织屈指可数。评估哪一个攻击组织才是真正威胁并无一定之规，你只能靠猜，别忘了，你所依赖的流程虽不具权威性，但还是一个不错的抓手。经历几次之后就有经验了，就会知道应该关注哪个攻击者。

验证过原始信息的可靠性，下一步就是尽量找到更多的攻击者信息。这类信息将用于形成关于攻击者的目标清单（target package），借此展开“定位”行动，“消除”该攻击事件。攻击者信息也要包括既往攻击的细节，无论这类攻击事件是发生在你的企业内部，还是发生在外部。

1、从已知信息着手

差不多在任何情况下，总是可以找到一些攻击者方面的信息，这些信息可能来自于既往攻击事件，也可能来自于在内部环境中发现的攻击尝试（这属于内部信息），还可能是来自于研究者、厂商和第三方的报告（这属于外部信息）。在理想情况下，为了呈现出威胁的全貌，应该综合利用上述各类信息。

在这一阶段，战略情报和战术情报都能派上用场。攻击者的战略情报用于提供攻击者的攻击意图和针对目标：他们到底想要攻击哪里，一旦得手他们要干什么。攻击者的战术情报用于提供攻击者的典型行动细节，包括他们的攻击手段、常用方法、常用工具、用过哪些基础设施，以及其他“定位”阶段可用的检索信息，或者作为已发现信息的上下文。

虽然很麻烦，但这有助于了解攻击者是倾向于独立行动还是联合其他组织。有些间谍组织会把任务拆解给多个不同的小组，有的小组负责获取最初访问权限，有的小组负责最终完成攻击任务，有的小组负责为未来的攻击活动维持访问权限，诸如此类。假如是这种情况，网络中会呈现出多名攻击者和多起活动的迹象，但深入分析后可以发现这些活动究竟是符合多个组织协同攻击的模式，还是存在多名攻击者各自行动的可能。

通过恶意软件辨识攻击者

根据攻击过程中使用的恶意软件或工具溯源特定攻击组织，在多年前是很常见的。一个完美的例子是PlugX，最初，该恶意软件被认为是由NCPH团伙制作并独家使用的。此后，因被出售、共享，PlugX在多个攻击组织中被广泛使用。因为有大量攻击工具和远程控制工具（RAT）被公开、被贩卖或者被各种攻击组织改造，按恶意软件溯源攻击者的时代一去不返。除了仅凭恶意软件溯源攻击者之外，还应考虑各类其他因素，包括目标、意图、行为等战术因素。不过，在“查找”阶段，识别出攻击者曾使用过的恶意软件仍然是有用的，这类结果可以在调查中引出新的线索。

2、查找有效信息

在“查找”阶段，我们的首要目标是为F3EAD循环中的“定位”阶段获取有效信息，而最有效的信息是那些攻击者难于改变的信息。事件响应专家David J.Bianco（曾任Mandiant Hunt Team负责人）在他的金字塔模型中提出过这一概念。如图1所示。

图1  David J.Bianco的金字塔模型

这个金字塔模型体现出攻击者的工具链和攻击目标相关信息的重要程度，相当于攻击者做出改变的难度。金字塔底端是经常发生变化的基础特征，攻击者只需对恶意软件或网络配置稍加调整，比如将恶意软件重新编译（会产生新的哈希值），或者把命令控制服务器指向新域名、新IP地址，这些特征就会改变。金字塔顶端是用来准确识别攻击者的核心信标，例如：关键技术或攻击方法。

情报与信息

需要注意的是，目前我们关注的是威胁信息，并非威胁情报。信息只有经过分析，能够解答F3EAD后续环节遇到的具体问题，才算是情报。当前是初级阶段，我们需要尽量捕获更多具有潜在用途的信息，分析判定这些信息是否应该纳入后面的步骤。

那么，我们该如何利用这个模型呢？金字塔模型的意义在于帮助我们理解不同类型的攻陷信标的相对价值和时间本质（temporal nature）。哈希值是无用的吗？完全不是，在许多情境下，哈希值是非常有用的，是调查工作的最好起点。可是，哈希值常常会变，而且这种改变非常容易（通常只需要重新编译恶意软件的某一部分）。与之相反，专门利用SQL注入手法入侵网站的攻击者，如果想把攻击方式转变为结合0day漏洞利用的鱼叉式钓鱼攻击，就会经历一段相对困难的时期。因此，越是靠近金字塔顶端的威胁信息，其有效期就越长。无论是事件响应还是情报分析，我们都要尽量获取接近金字塔顶端的信息，只有这样，才能让对手更难于逃出我们的视野。

攻陷信标

那些易于采集的数据（位于金字塔底部），通常被称为攻陷信标（Indicators of Compromise，IOC）。IOC的定义最初由Mandiant公司的OpenIOC网站提出（OpenIOC是Mandiant公司的专有定义，用于兼容其MIR产品的IOC）。IOC可以采用多种格式，但均可定义为：一种对于已知威胁技术特征、攻击者手法及其他危害证据的描述方法。

OpenIOC与传统IOC

许多分析专家都会误将IOC当作一个个零散的威胁情报。可是，OpenIOC并非由相互独立的信标构成，而是建立在围绕特定威胁的汇集多个信标而成的复合信标之上。这只是IOC原始概念与企业应用的区别。其他企业会建立自己的IOC格式，最著名的是MITRE公司的结构化威胁情报表达语言（Structured Threat Information Expression，STIX）。

典型的IOC通常是位于金字塔底部的零散信息。根据信息被发现的位置不同，可分为：

文件系统信标

文件哈希值、文件名、字符串、文件路径、文件大小、文件类型、签名证书。

内存信标

字符串和内存结构。

网络信标

IP地址、主机名、域名、HTML路径、端口、SSL证书。

各类信标的用途不同，发现位置不同（单机系统监测或者网络监测），各种格式适用于不同的工具。

行为

攻击者的行为特征极难改变，就像金字塔最顶端的TTP那样。行为比TTP更为抽象，很难用IOC描述。

参照杀伤链对于攻击者各阶段工作的描述，我们就非常容易理解攻击者的行为特征。以下是几个假设的例子。

侦察跟踪阶段

（一般靠推测得出）攻击者通常借助在网上找到的会议日程文档为潜在受害目标画像。

武器构建阶段

攻击者使用嵌入Word文档中的VBA（Visual Basic for Applications）宏脚本构建攻击武器。

载荷投送阶段

攻击者根据侦察阶段取得的会议日程信息，仿冒行业集团发送钓鱼邮件。

突防利用阶段

当受害目标打开邮件附件的Word文档，触发VBA宏脚本执行，就会下载第二阶段载荷。

安装植入阶段

攻击者使用提权工具安装第二阶段载荷，即远程控制木马，随系统开机启动，在主机持久存在。

通信控制阶段

该远程控制木马连接到微博网站，采用加密通信的方法接收命令和控制。

达成目标阶段

攻击者试图窃取技术原理图和邮件，并压缩上传到某文件共享服务器。

所发现的各类信息均应完整记录，使其在情报驱动事件响应过程的后续步骤中可以追溯。

杀伤链的使用

围绕攻击者查找目标是不错的起点，因为结合杀伤链模型使用，会显得非常直观。在调查工作之初，无论是你被动获得的信息，还是主动发现的信息，几乎都可以在杀伤链模型里找到对应的位置，如果幸运的话，甚至可以对应到杀伤链的某两个阶段。根据杀伤链的各个阶段，确定还有哪些信息尚未掌握，并根据已掌握信息在杀伤链中的所处位置，确定剩余信息应该去哪里找，这是一个好策略。在前例中，如果已知攻击者在突防利用阶段利用了Word文档的宏脚本，就可据此查找提权工具、代码，确认攻击者是否突破成功。你也可以顺着杀伤链的另一个方向查找载荷投送方法，根据已知情报的最早时间，搜索相关的邮件发件人或邮件主题。就算攻击者在不同攻击中的行动不会一成不变，可总是可以发现相似之处，尤其是当你知道想找什么的时候。

应用场景：构建杀伤链。为新出现的攻击者构建杀伤链，是了解攻击者的好办法，哪怕最初可填的内容并不多。杀伤链厉害的地方在于，它让我们有章可循，告诉我们下一步该去找什么——哪怕里面全是问号也没关系。

具体到我们的情况，可以从与我们相仿的各类企业发来的内部报告开始。其他安全团队认为该报告可能会有用。借助该报告，我们开始为“玻璃巫师”的攻击者构建杀伤链，记录已掌握的信息，了解还有什么不足。

“玻璃巫师”杀伤链

攻击目标

攻击者针对各类受害者，包括经济、环境、能源政策机构，以及高科技厂商和服务提供商。

攻击者针对各类国内目标，包括疑似的国内安全重点单位。

侦察跟踪

未知。

武器构建

利用被盗证书躲避系统级别代码签名保护。

载荷投送

鱼叉式钓鱼。

关键网站入侵。

直接攻击面向公众服务。

突防利用

未知。

安装植入：主机

使用多个恶意软件变种：Poison Ivy、Gh0st Rat、PlugX、ZXShell、Hydraq、DeputyDog、Derusbi、Hikit、Zox系列（ZoxPNG、ZoxSMB）。

使用本地工具和远程工具（如ZoxRPC工具）提权，由其他系统入侵本机。

安装植入：网络

利用标准网络管理工具（如远程桌面）通过受害主机在内网移动。

可能向其他主机安装次级恶意软件。

通信控制

不同目标和行动之间的设施高度分离（最低限度重用）。

偏好DNSPOD和DtDNS两家DNS提供商。

域名模式为：<目标>.<持有者域名>.<顶级域名>。

使用合法流量掩护对已入侵设施的访问。

达成目标

攻陷大型机组，快速辨识有价值材料，可能随动态改变目标。

针对行动随时定制攻击脚本。

信息窃取？

有时一项内容可以纳入不同分类。在上述攻击链中，“直接攻击面向公众服务”一项既属于“载荷投送”，也可视为“突防利用”。在某些情况下分类是重要的，但真正重要的是获取信息。构建好的攻击链可以随时调整，不必过度纠结于某项信息属于这一阶段还是那一阶段。再说一次，这只是一个模型，不够完美，能用就好。

虽然以下内容不属于杀伤链，但却可以告诉我们相关的攻击者、战役和行动：

DeputyDog行动

九头蛇行动（Ephemeral Hydra）

极光行动（Operation Aurora）

雪人行动（Operation Snowman）

Shell Crew组织

VOHO战役（VOHO Campaign）

这些相关攻击者对我们的调查的意义取决于多方面因素，不过可以暂不理会。此外，构成这些报告来源的各种链接，可供我们将来引用或后续分析。

现在，我们根据第一批资料构建了简陋的“玻璃巫师”杀伤链。显然距离我们的理解框架还有巨大差距，但攻击者已经渐渐露出真容。我们知道了攻击者可能用于入侵我们企业的一些手段，也更加了解了攻击者一旦入侵得逞可能会做什么。

攻击目标

攻击者的目标，是你在“查找”阶段搜集的全部信息中最为抽象的，因为多数情况下这只能根据攻击者的行动推理得出，而不会被攻击者明确地讲出来。然而，即使已经被防御者发现，攻击者也很少会改变目标。目标明确的攻击者，为了躲避检测，可能会更改TTP、工具或攻陷信标，但不会简单地变换攻击目标。无论攻击者选用哪种攻击技术，或者选用哪种攻击方式，他们仍然必须去攻击目标所在的地方。因此，攻击目标是攻击者行为之中最不变的部分，应该成为追踪溯源攻击者的核心。

攻击者接私活

攻击者有时也会接私活赚外快（moonlighting），针对不同的战略目标，从事不同类型的行动，这表现为使用同样的TTP攻击完全不同的目标。比如：间谍组织偶尔也会从事犯罪活动，由窃取情报变为窃取金钱；借助僵尸网络发送垃圾邮件的犯罪团伙，临时改行从事DDoS攻击。在某些情况下，这可能是为其他行动做准备，比如给另一次攻击预备次级基础设施，也可能就是为了个人捞好处。

发现攻击者改变攻击目标是一个重要信号，需要长期密切关注。这可能是兴趣发生转移或是准备发起新型攻击的信号。无论是哪种情况，都可以作为追踪溯源和分析战略利益的重要证据。

“玻璃巫师”攻击目标可抽象为：

“玻璃巫师”针对各类受害者，包括经济、环境、能源政策机构及高科技厂商及服务提供商。

玻璃巫师”针对各类国内目标，包括疑似的国内安全重点单位。

将其填回原始报告，可以加深理解，并在必要时更新杀伤链。

二、围绕资产查找目标

围绕资产查找目标是以受你保护的资产为重心，关注可以引发攻击行动的具体技术。在你无法判断网络是否受到针对性攻击，或者想知道到哪里去找以及如何查找攻击、入侵迹象时，这种方式会非常有用。

工业控制系统（Industrial Control Systems，ICS）最适合使用这种查找方式。工业控制系统控制着水坝、工厂和电网之类的基础设施，对其应用或攻击都需要具备特定领域的专业知识。威胁情报团队可根据攻击者对工业控制系统的理解能力、拥有的权限以及测试攻击的情况，将攻击者分门别类。

当攻击事件涉及专用系统时，我们不仅要考虑大规模复杂系统，也要考虑大量的高价值系统。在攻击者展开杀伤链之前，他们必须投入大量的时间和精力，获取所需软件来查找漏洞，找到相应环境来测试突破防御的效果。

围绕资产查找目标的关键在于，了解什么样的攻击者具备攻击你所保护的系统的能力，从而使你关注那些用于攻击你的信标和工具。攻击者对任何额外的可攻击系统的投入，都是一种机会成本，这意味着这些时间和资源无法再被投入其他需要相同级别资源的技术。例如，一个花费精力攻击ICS的团伙将无力再去攻击汽车技术。

第三方的研究成果对于以技术为中心的攻击有利有弊，这些基础研究同时有助于攻击者（节省了他们的时间和资源）和防御者（帮助他们理解攻击者的进攻手段和防护方法）。多数防御者虽不需要深入研究这些具体问题，但可以借鉴其攻防模式的视角。

围绕资产查找目标的应用

由于围绕资产查找目标的重点在于攻击者所针对的资产，准备采用此方法的企业多数具有专门的技术领域，如工业控制、发电、自动驾驶、无人机，或者物联网设备。显然，各类企业情况不同，但可以采用的杀伤链模型大同小异。

“玻璃巫师”团伙的情况是怎样的呢？到目前为止，我们并没有掌握他们所觊觎的资产信息。同绝大多数攻击组织一样，“玻璃巫师”团伙针对最广泛使用的系统，即那些受活动目录（Active Directory）管理的联网微软Windows系统。这类系统暴露给了对手极大的攻击机会。以资产为中心，可以缩小查找范围。在许多情况下，攻击者得以广为人知，恰恰是因为他们所攻击的系统并不常见。

三、围绕新闻查找目标

这虽然有点搞笑，却是那些纪律涣散的企业最常使用的一种查找方法。通常是某个行政人员在公开新闻中看到了消息，或者听到别人的负面评论，断断续续交待给威胁情报小组，由他们负责评估威胁影响。

需要指出的是：这类调查并不完全是坏事。因为新闻与情报密切相关，甚至大型传统情报机构也会监测新闻来源。正在发生的事件往往会对企业的情报需求产生巨大的影响。重点在于取其精华，去其糟粕。

例如，如果你的利益相关方看到“检察长称：黑客入侵某些公司”的新闻后来找你，想知道你的企业是否受到影响。想回答这个问题，需要考虑以下几个要点：

首先花点时间阅读该文章、观看视频或相关媒体。事件都涉及哪些群体和个人？不要只关注攻击者，也需要了解受害者和第三方。

该文章提到了某个具体的攻击组织。你知道那些攻击者都是谁吗？

你被问到的问题是什么？大处着眼，小处着手。最初看到的是文章或视频的标题，很容易发现里面并没有你的公司名称，甚至没有与之相关的名称，但不要掉以轻心。问题的实质很可能是，“我们是否面临由国家支持的攻击者窃取知识产权的风险？”

如果可能，对于可判定是否已遭入侵的信息，以及可提供针对同类攻击如何布防的信息，应进行全面检查。“查找”阶段的妙处在于：你只管挑选将来可能用到的信息，将其纳入正式分析流程，而不必问缘由。

固然可以将这类查找目标方式视作非正规的信息请求，但不要对此漫不经心。信息请求是触发启动调查循环的外部过程。

四、根据第三方通知查找目标

一个团队最糟糕的经历就是，第三方报告了你的企业泄密事件。当第三方通知你该泄密事件时，大多数情况下，对手已经达成目标了。报告提供方会告诉你攻击者是谁（至少是一些指向攻击者的提示），但愿还有一些信标。此时，事件响应阶段就开始了——指出如何有效利用所给出的信息。

对于第三方通知，你要把重点放在还能从通知者那里拿到什么。在你（作为沟通者）和你的企业可以满足以下要点的前提下，尽可能多地获取信息：

可操作性（actionability）

保密性（confidentiality）

操作安全（operational security）

在第三方通知中共享情报，共享者需要承担巨大风险。保护情报来源和发现方法是一项艰巨的工作，当通知范围不受控制的时候（无法得知收到情报的人是谁），则是难上加难。因此，这些信息是否得到妥善处理，即信息是否安全（指操作安全和保密性），是否发挥作用（指可操作性），取决于情报的接收方。

这就导致第三方在首次共享信息时，可能不会提供太多内容，而只提供攻击者基础设施的IP地址和时间帧这类信息。直到接收方经审查后被证明是值得信赖和有效的情报共享用户，才会被共享更多的情报内容。这种互动形式在信息共享组织中是约定俗成的，无论是正式组织，还是采用邮件列表或聊天共享形式的非正式组织。无论是成熟的组织，还是尚不成熟的组织，都可以加入这类信息共享组织并从中获益。只要确保你的企业能够共享情报，或者能根据已共享情报采取行动，就可以占有一席之地。对于某种特定类型的情报，一个组织能共享的信息越多，其他组织在采取行动时就越轻松、越有效。

信息共享可能会在许多企业内引起授权之争。虽然大多数企业都乐于获取其他安全团队或研究人员的信息，却不想把自己的信息共享出去。这种担心是正常的，但团队必须克服，否则信息就无法发挥作用。常言道：将欲取之，必先予之。一般来说，你要让法务部门参与制定信息共享规范。

五、设定优先级

“查找”阶段的工作进行至此，你差不多已经收集分析了大量信息。在进入其后的“定位”阶段之前，你需要给这些信息设定优先级，以便采取行动。

1、紧迫性

考虑利益相关者提出的查找需求的紧迫性，是设定优先级的最简单方法。你的CISO是否在询问刚刚由某机构发布的特定组织威胁报告？公司的新决策可能影响到某个拥有侵略性威胁组织的国家，他们是否要求对此评估？如果这是迫切需要的，应予以优先考虑。

判断“查找”行动是否迫在眉睫并未易事。新的线索会吸引注意力，而经验往往让我们放慢脚步，另辟蹊径。跟着感觉盲目地调查新线索是容易犯的错误，重要的是培养分辨需求紧迫性的能力。应该经常放慢速度，避免陷入突如其来的所谓的“潜在”恶意活动。许多有经验的事件响应人员都有过这样的经历，在看似重要的目标上投入过多，事后才明白它其实无足轻重。

2、既往事件

如果需求并不紧迫，不妨投入时间筹划收集工作的优先级。我们很容易陷入最新的威胁或最新的厂商报告，但在大多数情况下，应该先从企业自身发生过的事件着手。

多数攻击者都是广撒网的，只会一次性地攻击那些存在漏洞或配置错误的系统。这种情况对于黑客活动家或低级攻击者来说尤其常见。另一类攻击者则会持续攻击，经常会针对不同的目标重复使用相同的工具。威胁情报最有价值的地方就在于追踪这类攻击组织。对过去事件的分析成果常可以用于检测将来的攻击。

从分析过去事件着手的另一优点是，你可能已经掌握了用来形成事件报告的大量素材、第一手观察资料和原始数据（例如恶意软件和磁盘），并在此基础上添砖加瓦。在“查找”阶段可以再度挖掘既往事件的细节或遗漏。

3、严重性

在本阶段，已确认的信息要比那些采集到的零散信息对行动产生的影响更为重要。例如，“查找”阶段在敏感网络”中发现了横向移动迹象，其优先级就远高于有人针对外部Web服务器的扫描行为。虽然这两件事都应该加以研究，但前者的潜在影响明显要高于后者。严重性因企业不同而异，取决于特定组织对重要性的不同认识。

六、定向活动的组织

对于“查找”阶段的主要输出内容，应了解其组织方法和审查过程。投入一定时间（无论是10分钟还是10小时）深入挖掘哪些信息是可用的，并对即将出现的局面有所预期，才能不断进步。所收集和分析的全部信息都应整理成便于管理的格式。

1、精确线索

那些你已确认与调查有密切联系的信息，都属于精确线索。属于精确线索的情报可为那些已确认的信息或已知具有相关性的信息提供上下文。如果这类线索曾在网络的某些节点出现，你要在“查找”阶段检索其他网络节点的相关活动。重要的是认清哪些情报与事故有直接关系，哪些情报只有潜在关系。

2、模糊线索

“查找”阶段发现的信息多数属于模糊线索。模糊线索是一些附加信标或行为，虽已确认与某些精确线索相关，但暂不清楚是否出现在你的环境中，也不了解其影响是什么——这些问题将在“定位”阶段解决。模糊线索还包括那些与你类似的企业遭受攻击的新闻，以及你熟悉的情报共享组织提供的信息，这类信息虽对你构成威胁，但不确认是否产生影响。模糊线索还包括那些启发式行为检测结果，它们从你正在查找的活动模式中脱颖而出，但又不够可靠。这类通常在技术上更难以执行的搜索，却能产生重要结果和大量情报。

3、相关线索分组

不仅需要将线索分为精确、模糊两类，还需要跟踪线索之间的相互联系。一旦出现了精确线索——无论来自活跃事件，还是既往事件——你通常都会在“定位”阶段找到多条模糊线索。所谓关联（pivoting），就是由一条线索扩展出多条线索，而这些新线索可能与你有关，也可能无关。初始线索往往作用有限，所以关联的价值就体现出来了。跟踪记录哪些精确线索与模糊线索相关，哪些模糊线索之间相互关联，将有助于你解释和分析调查结果。在“查找”阶段，对于那些针对你环境的威胁信息，投入时间和精力来确定是值得的。你不会愿意花时间重新分析信息，因为此时往往已经忘记了信息来源，也记不清最初对其关注的原因。

这些线索应该用某种方式完整存储和记录，并在后续阶段易于补充。记录这些信息可以采用多种方式。许多团队仍在坚持使用Excel电子表格，但更多团队已经开始使用威胁情报平台（包括开源版本和商业版本）等工具存储信标、添加注释和标签，并在必要时将信标关联起来。在事件响应过程的这一阶段，记录方式首要考虑的是适应工作流程，让团队直观地看到哪些信息已经确认，哪些信息还有待审核或进一步待查。我们见过许多团队因为重复劳动或协作不利，在“查找”阶段浪费了大量的不必要时间。不要陷入这个陷阱！你处理的威胁信息在确认和妥善记录后，即可进入下一阶段。

4、线索存储

事件响应人员都有过这样的经历：借助线索侥幸发现的蛛丝马迹，其实是以前见过的，只是想不起来当时的情境。应该花些时间给线索写下注释，哪怕只是写在本子上的只言片语，也会发挥作用。以下为记录线索的固定格式：

线索

简述发现结果或思路。

日期时间

什么时候提交的（用于还原情境或抽样日志分析）？

情境

该线索是如何发现的（通常会在调查时用到）？

分析人员

谁发现的？

这种方式简单易行但有效。多数情况下，维持线索可用性是应对当前安全事件、强化安全效果及构建情境的入手点。

七、信息请求过程

信息请求（亦称情报请求）与线索相似，是从外部利益相关方获取团队事件响应或情报周期的指导意见的过程。这一过程旨在将请求规范统一，使之易于优先排序，安排合适的分析人员。

信息请求（Requests For Information，以下简称为RFI）可简（只有一句话和文档链接）、可繁（涉及假想场景和多条警告）。良好的RFI应包括以下项目：

请求

求助问题概要。

请求人

知道信息反馈给谁。

输出

可以是多种格式。需要IoC格式？简报文档？演示？

引用

如果问题涉及文档或由某文档引出，可在此说明。

优先级或截止日期

用于决定工作完成时间。

除此之外，在你的企业内，RFI流程需要具有相关性和可行性。关键在于将信息整合起来。利益相关方在提交请求和获取反馈时，无论是通过门户网站还是电子邮件，都不应该遇到麻烦。如果你或团队经常因为大量非正式的RFI而加班加点，最好建立一套正规制度来管理工作量。

八、结语

“查找”阶段是F3EAD循环中的关键步骤，让你清楚地知道该找什么。“查找”通常等同于明确目标，与情报周期的需求（requirement）和指引（direction）阶段密切相关。如果你不清楚自己的任务，或者说不知道自己正在应对什么威胁，当然很难做好。“查找”为情报周期中其他以业务为重心的阶段提供了舞台。

你不会在每个项目的“查找”阶段都投入相同时间。有的项目你可以独自完成；有的项目则需要多花些精力深挖一下；还有些项目，其“查找”阶段拖沓冗长，需要团队中有多人关注某一威胁的不同方面。如果面对的是最后一种情况，务必让信息有条理、文档化，并对线索按优先级排序，这样你才可以在“查找”阶段使用“目标清单”全面而精确地包含你想找到的信息。