从安全性告警方面而言，威胁情报数据信息能够颠覆式创新给检测仪器，与此同时还可以做为Context数据信息輔助安全性剖析。从异常检测方面而言，威胁情报能够融合数据连接等数据信息，根据相关性分析发觉特殊个人行为出现异常与安全隐患。从分析方法方面而言，威胁情报实质上归属于信用黑名单体制，用以检验时的实际效果一定水平上在于情报信息数据信息的品质。

场景一：外界进攻告警击中威胁情报剖析

场景叙述：安全性告警东西方网进攻源IP击中高相信威胁情报数据信息，判断外网地址故意IP进行安全性进攻事情

分析方法：安全性告警源IP地址配对威胁情报故意IP

数据库：安全性告警（WAF，IPS，TDA等），TI

解决方法：对安全性进攻源IP开展一定周期时间的禁封

场景二：内网服务器与威胁情报黑IP/网站域名开展通讯

场景叙述：内网服务器与威胁情报黑IP/网站域名开展要求连接或通讯，判断内网服务器早已中病毒或陷落

分析方法：内网主机地址个人行为配对威胁情报黑IP/网站域名

数据库：数据连接或服务项目要求（FW，NTA，DNS要求等），TI

解决方法：对内网服务器开展病毒感染/病毒查杀，修补网络安全问题，侵入回朔剖析

场景三：邮件服务器向威胁情报黑IP推送很多电子邮件

场景叙述：邮件服务器向威胁情报黑IP邮件发送，判断邮件发送账户早已被网络攻击操纵分析方法：特殊時间内（如10分鐘）邮件服务器详细地址与威胁情报黑IP网络线程数超出一定总数（如10次）数据库：数据连接或服务项目要求（FW，NTA等），TI解决方法：查验邮件发送的账户，确定该账户是不是早已被网络攻击操纵

场景四：内网服务器联接C&C网络服务器后开展文档/系统软件下载

场景叙述：内网服务器与威胁情报C&C服务器连接后下载文件/程序流程，判断内网服务器早已被网络攻击操纵分析方法：内网服务器联接C&C网络服务器（要求网站域名或进行联接）后试着免费下载异常文档/程序流程数据库：数据连接，服务项目要求，免费下载个人行为（NTA），TI解决方法：对内网服务器开展病毒感染/病毒查杀，修补网络安全问题，侵入回朔剖析

附记：

不一样生产商所輸出威胁情报数据信息的品质是不一样的，善于收集情报行业也不一样。就行业店铺可以根据布署威胁情报服务平台TIP，对好几家威胁情报数据信息开展融合。就领域管控组织来讲，还可以根据创建领域情报中心，对信息开展全部后再下发到各领域组织。