威胁情报平台

威胁情报平台有什么功能？

情报概览

提供接入情报数据的分类和统计信息，包括各类数据的本地化存储数量，每日录入趋势，API 情报查询与命中统计数据。

情报源管理

对腾讯威胁情报云，本地运营情报源，其他三方情报源等多来源数据进行统一管理。支持添加和编辑情报源，查看当前接入情报的状态和数据统计。

情报查询

提供页面以供用户查询情报结果，在查询栏输入检索值（如域名），单击查询后系统会根据接入的多源情报，呈现情报判定的结果页。单击详情，可获取每个情报源的详细上下文信息，包括判定依据、威胁线索、关联样本等。

本地情报管理

支持用户提供白名单、自定义情报的运营管理功能。以便实现自建情报数据的全生命周期管理，补充外部情报源的数据覆盖度。

数据运营统计

提供可视化的界面，为情报应用日志提供统计分析，以便了解各用户命中的威胁信息和历史风险。

日志威胁分析

支持 Syslog、Kafka、自定义格式等多种接入告警日志的模式，与本地威胁情报进行高速匹配，以实现威胁事件的发现和定位。

威胁情报平台有什么产品优势？

数据来源丰富全面

整合腾讯全网海量攻防实战数据，覆盖移动端、PC 端、云端多场景。通过专家威胁分析建模和结构化清洗运营，形成覆盖黑客攻击、漏洞利用、恶意代码检测等多维度的立体情报源。

攻防经验深度运营

依托科恩实验室多年攻防实战积累，融合 AI 模型与安全专家运营经验，实现99.99%的高精准 IOCs 检出率。情报生产运营流程结合 ATT&CK 框架，动态优化威胁狩猎规则与响应策略，确保情报实时性与对抗性。

多源情报灵活兼容

支持腾讯自运营云端情报源、三方情报源及用户本地运营情报源异构融合管理。可为 SOC/SIEM 等20+类安全设备提供标准私有化 API 接口与日志对接集成方案，适用于企业级威胁情报生命周期管理的异构系统联动需求。

海量数据本地下沉

通过云端情报本地化部署，实现分钟级威胁情报自动更新与手动离线更新双模式。同时，基于异构多源情报，在企业级客户内网构建本地威胁情报库，实现私有化情报的再运营与应用。

本地接口高速查询

结合高性能嵌入式存储引擎与高并发轻量化 API，提供万级 QPS 查询性能和毫秒级响应效率。同时，通过预加载核心研判数据与缓存优化，确保与 SOC、XDR 等系统的无缝对接，单机日均处理查询量可达20亿次。

系统平台快速部署

提供软件化，软硬一体化等多种交付方式，实现物理机、虚拟化及混合云环境快捷部署。通过自动化配置流程，企业可在48小时内完成平台上线，降低运维复杂度，助力安全能力快速落地。

威胁情报平台有什么应用场景？

隔离网本地化使用情报场景

部署本地化情报系统平台（软、硬、虚拟机），通过单向导入更新方式，实现本地化情报的高速查询调用需求。

多源异构情报统一接入使用场景

支持接入多个来源，多种情报数据，提供统一的 API 对接方式和 Web 人工使用界面。

本地化多设备，高速情报调用场景

提供 RestFul 的高速调用接口，赋能 SOC/SIEM、防火墙、WAF 等传统安防设备提升威胁发现能力。

本地情报生产运营场景

提供情报降噪、辅助研判、丰富上下文流程，支持单独存储本地导入的情报数据，并提供高速调用的接口和 Web 查询服务。

多平台情报共享场景

提供用户自建情报的导入导出功能，并支持多平台间情报数据的推送接收。

日志的威胁检测场景

支持通过 Syslog、Kafka、自定义等方式对接日志，实现威胁事件发现、告警推送和设备联动。

威胁情报平台如何部署？

威胁情报平台 TIP 支持软件化部署，可使用用户提供的硬件资源或虚拟机资源进行安装配置。

对接威胁情报平台后主要应用方式有哪些？

1. 与安全设备产品对接进行情报赋能，对其产生的告警进行降噪、研判管理分析、告警优先级排序等。

2. 与自动化编排与响应平台进行联动，对其处置的安全事件进行准确性诊断，帮助用户落地自动阶梯化封禁策略。

3. 安全运营人员可在私有化环境下进行情报查询，获取上下文信息对事件进行谈判。