辅助甲方运营团队
威胁情报是一种新的网络安全防御手段,防御思路从以漏洞为中心进化成以威胁为中心,因此威胁情报云查与本地引擎能够有效助力运营场景。在诸多的安全信息中,只有深刻掌握关键性资产的安全漏洞,了解所在行业当时存在的主要风险,才能快速且有针对性地构建起高效合理的安全体系结构。
支持失陷检测
适用于用户已经拥有比较全的安全设备和系统,急需加入更多的威胁发现和威胁检测能力,增强已有设备的安全能力情况。
腾讯云威胁情报支持通过情报办公网失陷资产,生产网失陷资产,威胁事件等信息,并及时处理,可有效控制威胁事件的危害范围,防范潜在的损失。通过在现有系统中接入情报 API 或情报 SDK 的相关系统或者设备,例如:NTA,EDR 系统,情报检测网关等,来增强现有设备和系统的威胁发现能力。
支持态势感知情报中心
在用户建设态势感知中心时,会接入大量的安全设备、网络设备、服务器、中间件等的日志;针对这些日志的分析,除了传统的关联规则,还亟需引入威胁情报对日志进行过滤、富化、降噪等关联分析。
在态势感知冗长的建设周期中,应用高精准 IOC,实现态势感知中海量数据的快速过滤和筛选,加速态势感知的效果产出。
信誉情报和基础数据情报,对日志中的域名及 URL,从区域、端口、服务和互联网广度等10+维度镜像扩展,有效地对告警事情中的数据进行维度扩充。
支持 Bot IP 业务防御检测
适用于用户已经拥有防火墙系统(FW)或 Web 应用防火墙系统(WAF)等支持增强 API 或 SDK 能力的设备,通过威胁情报云查与本地引擎来增强业务风险防御能力。
针对 WAF 拦截 IP,避免企业出口、4G 出口、城域网出口等 IP 地址被封禁,造成误拦截。
针对入站访问,通过识别 Bot IP 标签进行拦截,海量云上 Bot IP 攻击情报实时同步,拦截爬虫、代理、秒拨等,提升业务系统的健壮性,防范数据损失。
支持 SIEM 和 SOC 类的安全产品
威胁情报云查与本地引擎可以区分不同类型的攻击事件,并从中识别出高危 APT 类型事件,确保能及时有效采取应对措施,使损失最小化。威胁情报云查与本地引擎可以通过预测指标来预测攻击者,可能会进行的恶意活动和攻击范围,并通过 SIEM 或 SOC 设备对历史的威胁情报进行索引,得到更全面的线索。