在第二十天的《NSM 20: 偵測方法Signature vs Anomaly》文中曾經提到，可以用幾種方法彌補Signature-based分析的缺陷，其中之一便是Threat Intelligence 威脅情資。Threat Intelligence 威脅情資有許多不同來源，每一種feed的資料模式不同，有些是收集惡意程式的md5，有些是惡意的domain，有些是IP位址，有些是URL，有些是曾被用於釣魚的電子郵件信箱，也有C2 Server的資料 或整理好的IOC﹝Indicator of Compromise﹞，為了分析所需可能要收集好幾種不同的Threat Intelligence feed，那可不可以將這些Threat Intelligence的資料集中管理，和Security Onion洋蔥整合，幫助我們進行網路安全監控呢？

讓我們邊吃洋蔥，邊讀威脅情資的解決方法便是Critical Stack Intel。Critical Stack Intel提供一個平台整合不同的威脅情資feed，將資料集中傳遞到Critical Stack Intel Client，我們只要在Security Onion洋蔥上安裝這個Client，就可以將Security Onion洋蔥裡的Bro Log和Threat Intelligence威脅情資相互比對，藉由收集不同feed的資料，增加提供比對的特徵Signature，大幅加強資策分析能力。

我們先到Critical Stack Intel的網站註冊一個帳號。
https://intel.criticalstack.com/

我們看到目前有105個可供使用的Threat Intelligence 威脅情資feed，首先要創建一個Collection，Collection是讓我們訂閱威脅情資Feed的地方，我創建了 一個名為Collection One的Collection；接著要訂閱威脅情資feed，點選Add More Feeds，如下圖所示：

會出現很多不同的威脅情資feed可供選擇，可以照不同選項排列，例如最多訂閱的Most Subscribers，最受推薦的Highesr Rating等等，因為威脅情資feed通常有時效性，若沒有更新情資便沒辦法得到新威脅的資訊，所以最近加入Recently Added和最新更新Recently Updated的排列都可以試試。也可以直接點選右上角的”Subscribe to all feeds”訂閱全部的威脅情資feed。

接著創建Sensor，一個Sensor配一個Collection，我創建Sensor叫Security Onion1。創建Sensor後便會得到一組API Key，如下圖所示：

請記得這組API Key，明天我們要用這組API KEY將Critical Stack Intel加入Security Onion洋蔥。

Critical Stack //Intel Feed
https://intel.criticalstack.com/