Q006 在OSSIM架构中为何要引入威胁情报系统？

传统的SIEM系统不适合用来处理非结构化数据。如果输入大量未经验证的数据（没有经过归一化处理的数据），那么这些数据将会以垃圾信息的形式来呈现，从而妨碍管理人员分析数据，并快速导致SIEM“消化不良”，拖垮整个系统。

而威胁情报能为安全团队提供“及时识别和应对攻陷指标的能力”。虽然有关攻击的信息比比皆是，但威胁情报在过程中能识别攻击行为，其原因是将这些信息与攻击方法和攻击进程的上下文知识进行了紧密结合。OSSIM将SIEM模块与威胁情报相结合。企业将以敏捷和快速反应的方式应对不断发展的、大批量、高优先级的威胁。如果不进行匹配，则企业就是在盲目地努力并且要面对混乱报警的局面。

在SIEM中观察网络威胁时，会令运维人员会过度关注内部细节。在所有威胁数据中，不论是结构化的还是非结构化的，都需要从更“全球化”的角度进行综合分析和研究。只有使用筛选后的高质量的威胁情报来预警，才能形成对威胁态势的感知能力。