优先情报需求（PIR）是以企业要完成最终目标的过程中最重要的情报需求。因此，PIR可能是不断变化的，例如：收购XX公司会让我们成为攻击组织的新的攻击目标吗？其中公司的收购行为是否会产生安全影响将是我们的优先情报需求。

情报团队应将 PIR 映射到组织面临的重大事件或风险，并且应该得到将使用 PIR 的高级决策者的支持，否则它们将无效。优秀的情报分析员应该能够跨越这个范围；他们可能有专长或更喜欢的专长，但他们应该能够完成战术-运营-战略方面的工作。

哪些业务部门最容易受到网络犯罪的威胁？

我们在安全方面的投资是否积极降低了我们面临的当前正在跟踪的威胁的风险？

哪些威胁活动团体当前活跃在我们的行业中？

如果FUZZYSQUIRREL入侵了当前企业，哪些资产最容易受到攻击？

安全部门应该专注于识别哪些攻击组织最容易威胁当前企业的安全

哪些IoC应用于威胁检索能够快速发现今天的入侵行为

为了让你的团队取得成功，你需要长期认真地思考它在组织中的发展方向。只要你的团队满足所提出的情报要求，就没有正确或错误的答案。

您的情报团队一定会关注那些最容易获取数据的部门。例如，如果情报团队位于安全运营中心 (SoC) 内，则很可能大部分情报需求都与SoC相关。优先情报需求将以SoC为中心，SoC之外的许多团队可能永远不会提出适当的要求。然而，如果威胁情报团队无法与SoC和事件响应团队协同，情报团队可能永远无法获得入侵数据来分析和满足其他团队的情报需求。

因此我们建议威胁情报团队作为一个独立的部门，并且在理想情况下处于安全团队的中心位置，情报部门与其他安全团队甚至非安全团队直接对接。并直接向高层（例如CSO、CISO）汇报。

网络威胁情报团队可以支持组织内的各种角色，从 SoC 到漏洞管理再到 CISO 和董事会。网络威胁情报团队在组织内的角色将取决于该特定组织的需求。如果您无法决定情报团队在组织中的位置，请考虑它试图满足的要求以及情报团队正在承担的职能类型。使用它来指导组织结构图比其他地方发布的任何最佳实践更紧密。例如，将情报团队置于漏洞管理小组中通常被认为是一种糟糕的组织选择。但是，如果这对您的组织来说是最重要的事情并且满足了您的大部分情报需求，那么它可能是您组织的一个不错的选择。