3.2.2.15 安全可视化

指在网络安全领域中的呈现技术，将网络安全加固、检测、防御、响应等过程中的数据和结果转换成图形界面，并通过人机交互的方式进行搜索、加工、汇总等操作的理论、方法和技术。

3.2.2.16 NTA 

网络使用分析（NTA）的概念是 Gartner 于 2013 年首次提出的，位列五种检测高级威胁的手段之一。

它融合了传统的基于规则的检测技术，以及机器学习和其他高级分析技术，用以检测企业网络中的可疑行为，尤其是失陷后的痕迹。

3.2.2.17 MDR 

全称 Managed Detection & Response，即托管检测与响应，依靠基于网络和主机的检测工具来识别恶意模式。

此外，这些工具通常还会从防火墙之内的终端收集数据，以便更全面地监控网络活动。

3.2.2.18 应急响应

通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。

3.2.2.19 XDR 

通常指以检测和响应技术为核心的网络安全策略的统称，包括 EDR、NDR、MDR 等。

3.2.2.20 安全运营

贯穿产品研发、业务运行、漏洞修复、防护与检测、应急响应等一系列环节，实行系统的管理方法和流程，将各个环节的安全防控作用有机结合，保障整个业务的安全性。

3.2.2.21 威胁情报

根据 Gartner 的定义，威胁情报是某种基于证据的知识，包括上下文、机制、标示、含义和能够执行的建议，这些知识与资产所面临已有的或酝酿中的威胁或危害相关，可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。根据使用对象的不同，威胁情报主要分为人读情报和机读情报。

3.2.2.22 TTP 

主要包括三要素，战术 Tactics、技术 Techniques 和过程 Procedures，是描述高级威胁组织及其攻击的重要指标，作为威胁情报的一种重要组成部分，TTP 可为安全分析人员提供决策支撑。

3.2.2.23 IOC 

中文名为失陷标示：用以发现内部被 APT 团伙、木马后门、僵尸网络控制的失陷主机，类型上往往是域名、URL 等。

目前而言，IOC 是应用最为广泛的威胁情报，因为其效果最为直接。一经匹配，则意味着存在已经失陷的主机。

3.2.2.24 上下文

从文章的上下文引申而来，主要是指某项威胁指标的关联信息，用于实现更加精准的安全匹配和检测。

3.2.2.25 STIX 

STIX 是一种描述网络威胁信息的结构化语言，能够以标准化和结构化的方式获取更广泛的网络威胁信息，常用于威胁情报的共享与交换，目前在全球范围内使用最为广泛。

STIX 在定义了 8 种构件的 1.0 版本基础上，已经推出了定义了 12 中构件的 2.0 版本。