填写文档满意度调查问卷,赢取缤纷好礼> HOT

产品概述

最近更新时间:2022-04-13 17:15:55

背景

网络空间的攻防是一场“非对称”的战争。高级持续性威胁(Advanced Persistent Threat,APT)等新型攻击层出不穷,攻击者拥有较长的准备时间、丰富的攻击工具和较低的攻击成本。传统的安全防护多数依赖边界或特殊节点部署像防火墙等安全设备的静态防御,实行以特征检测为主的安全监控,并基于规则匹配产生告警。然而面对各类新型威胁,传统的安全防御方式显得愈发捉襟见肘。

什么是威胁情报云查服务

腾讯威胁情报云查服务依托腾讯近二十年的网络安全经验和大数据情报,为客户提供威胁情报(IOC)查询服务和 IP/Domain/文件等信誉查询服务,帮助企业以最低的成本使用专业的威胁情报服务并提升现有安全防御能力。通过对外提供如下7种类型 API 接口服务实现上述功能。

API 接口服务

IP 入站(WAF 查询)情报

针对入站场景的 IP 进行分析, 能够提供 IP 的地理位置、 ASN 信息,通过判定规则精准判别 IP 是否恶意、风险严重级别、可信度级别;识别威胁类型,例如:漏洞利用 (Exploit)、 傀儡机(Zombie)、代理(Proxy)、可疑(Suspicious)等及相关安全事件或团伙相关安全事件或团伙标签。

IP 信誉情报

可针对业务日志,以及从防火墙、 WAF 等基础安全防护设备中获取的外部 IP,进行分析。获取 IP 相关地理位置、ASN 信息,综合判定威胁类型如:远控(C2)、傀儡机(Zombie)、失陷主机(Compromised)、扫描(Scanner)、钓鱼(Phishing)等,相关攻击团伙或安全事件标签,原始情报,相关样本信息等。

域名信誉情报

可针对开源情报或者相关报告出现过的域名,以及在腾讯沙箱库出现较多恶意样本链接域名进行分析。获取域名对应的 IP 地址,当前 Whois 信息,综合判定威胁类型如:远控(C2)、恶意软件(Malware)、傀儡机(Zombie)、扫描(Scanner)、暴力破解(Brute Force)等,相关攻击团伙或安全事件标签,原始情报,相关样本信息等。

文件信誉情报

对于网络中传输的文件、主机上新出现的进程或文件,可以通过文件 hash 的方式进行文件信誉查询,获得相较传统本地单一静态引擎检测更精准、全面的结果,有效提升检测率并降低误报率。

API 查询结果不但可以判别黑白,还可以提供恶意文件的类型和家族信息,在报警管理和事件响应过程中可以依赖这类信息快速的筛选风险较高的报警,并针对不同类型采取直接有效的响应动作。API 查询结果针对特定恶意类型,如木马、蠕虫、黑客工具等,返回对应的网络 IOC 及动态沙箱网络行为数据。利用这些数据,大数据分析平台或者安全分析人员可以进行关联分析,匹配网络行为日志,获得更多攻击线索并对整个攻击链做还原。

URL 信誉情报

腾讯范围内对 URL 内容进行检测后的累积的情报,通过 URL 扫描引擎和 URL/域名黑名单服务对任意 URL 进行检测,同时对 URL 下载的文件进行分析。

高精准 IOC 情报

通过判定规则精准判别 IP 或域名是否恶意、风险严重级别、可信度级别;准确识别远控(C2)、恶意软件( Malware)、矿池威胁,提供相关安全事件或团伙标签等 。APT 攻击、蠕虫木马、僵尸网络、勒索软件等的远控服务器地址情报数据库,可以用来匹配 DNS、HTTP 日志中的域名。

IP 画像情报

IP 画像情报就是通过实时判定 IP 状态,采取打分机制,量化风险值,精准识别恶意动态 IP 的一种接口,它可以解决爬虫、撞库、薅羊毛等风险行为。IP 对应的网络位置和网络行为的刻画, 包括是否是真实用户,服务器,VPS,IDC,VPN,CDN,云服务商,Web 服务器,DNS 服务器以及历史上是否存在攻击行为等多种画像的刻画,主要用于协助运营人员对 WAF 结果判定提供基础数据支撑。

目录