移動和云計算的采用擴(kuò)大了現(xiàn)代企業(yè)的安全邊界，許多企業(yè)在更深入地了解其IT基礎(chǔ)設(shè)施，以監(jiān)控惡意活動或軟件。這些潮流帶來了越來越多有待評估的威脅數(shù)據(jù)。想把這些數(shù)據(jù)轉(zhuǎn)化成有意義的情報，就需要不僅限于傳統(tǒng)安全信息和事件管理(SIEM)功能的工具，以便整合和分析不同類型的數(shù)據(jù)(包括結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù))。

　　分析威脅數(shù)據(jù)可能是一筆不小的開支，對中小企業(yè)來說尤為如此。除了軟件許可費(fèi)外，還面臨硬件、人員和培訓(xùn)等方面的成本。不過下面幾個免費(fèi)工具可以助你一臂之力。

　　思科的OpenSOC

　　思科系統(tǒng)公司的高級服務(wù)經(jīng)理Pablo Salazar說：“我們不再依賴傳統(tǒng)的威脅檢測方式。”如今的安全需要運(yùn)用大數(shù)據(jù)分析手段;去年11月，思科宣布了OpenSOC開源安全分析框架。OpenSOC是一種異常檢測和事件分析平臺，它整合了Hadoop生態(tài)系統(tǒng)的諸多部分(包括Storm、Kafka和Elasticsearch)，提供全數(shù)據(jù)包捕獲、索引、存儲、數(shù)據(jù)強(qiáng)化以及流處理和批處理，另外還提供實(shí)時搜索和遙測聚合。免費(fèi)工具可從這里獲得(http://opensoc.github.io)。

　　社區(qū)版Infinit.e

　　IKANOW的Infinit.e開源安全分析工具與第三方應(yīng)用程序整合起來，提供了吸收、搜索、數(shù)據(jù)窗口小部件和導(dǎo)出等功能。免費(fèi)的社區(qū)版其實(shí)是Infinit.e企業(yè)版的簡化版。它可以收集、存儲、處理、檢索、分析和顯示非結(jié)構(gòu)化文檔及結(jié)構(gòu)化記錄。來自所有數(shù)據(jù)源的數(shù)據(jù)轉(zhuǎn)換成單一數(shù)據(jù)模型，以便可以對整個數(shù)據(jù)集執(zhí)行常見查詢、評分算法和數(shù)據(jù)分析等任務(wù)。社區(qū)版可從這里獲得(http://www.ikanow.com/downloads/)。

　　Splunk

　　Splunk支持?jǐn)?shù)據(jù)發(fā)現(xiàn)，可以通過數(shù)據(jù)索引功能和谷歌率先推出的MapReduce功能，分析非常龐大的數(shù)據(jù)集。Splunk可收集來自大多數(shù)數(shù)據(jù)源的未經(jīng)規(guī)范化處理的數(shù)據(jù)，對安全事件執(zhí)行數(shù)據(jù)分析和統(tǒng)計分析。它讓威脅分析人員可以解讀威脅情報數(shù)據(jù)，并識別和記錄威脅。它可從這里下載獲得(http://www.splunk.com/en_us/download.html)。

　　AlienVault開放威脅交換中心(OTX)

　　AlienVault OTX本身是一個論壇，而不是一款軟件工具：它讓你可以自由進(jìn)入威脅研究人員和安全專業(yè)人員云集的全球社區(qū)。該平臺提供了社區(qū)生成的威脅數(shù)據(jù)，支持協(xié)作研究，并且使這個過程：利用來自多個數(shù)據(jù)源的威脅情況更新你的安全基礎(chǔ)設(shè)施實(shí)現(xiàn)了自動化。論壇成員可以積極討論、研究、證實(shí)和分享最新的威脅數(shù)據(jù)、趨勢和技巧。你可以在此加入(https://otx.alienvault.com)。

　　打造開源威脅情報系統(tǒng)

　　印度共生國際大學(xué)共生信息技術(shù)中心的研究人員提議采用一種威脅情報系統(tǒng)模型，以滿足這一要求：利用具有成本效益的動態(tài)解決方案來對付復(fù)雜的網(wǎng)絡(luò)威脅。

　　Sabari Girish Nair和Priti Puri博士撰文道：“我們的解決方案需要簡單，又易于構(gòu)建和實(shí)施。”這種模型的各部分包括：公共數(shù)據(jù)源和開源數(shù)據(jù)庫管理系統(tǒng)用來存儲安全日志和高級持續(xù)威脅的概況信息，SpagoBI開源商業(yè)智能套件則作為分析引擎。

　　他們倆表示，這種解決方案可能不如專有的商業(yè)系統(tǒng)來得一樣高效或完全自動化，但是幾乎是免費(fèi)的，而且很容易改動。