背景
网络空间的攻防是一场“非对称”的战争。高级持续性威胁(Advanced Persistent Threat,APT)等新型攻击层出不穷,攻击者拥有较长的准备时间、丰富的攻击工具和较低的攻击成本。传统的安全防护方法通常依赖于在边界或特定节点部署防火墙等安全设备,以实现静态防御,这种方法主要依赖于特征检测进行安全监控,并基于规则匹配生成警报。然而面对各类新型威胁,传统的安全防御方式显得愈发捉襟见肘。
产品定义
威胁情报平台 TIP(Threat Intelligence Platform, TIP)是一套威胁情报运营管理分析平台,协助企业级客户构建本地化威胁情报中心,基于腾讯安全大数据挖掘和攻防经验,提供多源情报聚合应用,本地化情报生产运营,可视化威胁分析,日志威胁检测等功能,支持对接各类安全产品平台进行威胁情报赋能,有效提升安全运营和应急响应效率。
主要威胁情报数据类型介绍
失陷检测情报 IOCs
此类情报一般用于与出站请求目的地址匹配,以协助识别内网是否存在失陷主机。可检出 APT、网银木马、窃密木马、勒索软件、僵尸网络、挖矿软件、常规木马、漏洞利用、SinkHole、DGA、远控木马、黑灰产等威胁类型造成的攻击事件。常用的匹配的日志源包括流量检测、防火墙等。
IP 活跃攻击来源情报(入站)
此类情报一般用于与入站请求的来源地址 IP(互联网 IP)进行匹配,以协助识别有风险的外部访问请求。可检出的威胁类型包括:WEB 攻击 、网络爆破、网络扫描、网络蜜罐、DDoS、垃圾邮件等攻击迹象的来源。常用的匹配的日志源包括 Web 防火墙等。
文件信誉情报
此类情报一般用于与网络中传输的文件 Hash 进行匹配,以协助识别有风险的文件样本。查询值为 Hash(MD5、SHA1等)。可检出文件黑白判定,风险等级,对应家族团伙信息,关联 IOC,相关 ATT&CK 攻击手法。
主要功能介绍
情报概览
提供接入情报数据的分类和统计信息,包括各类数据的本地化存储数量,每日录入趋势,API 情报查询与命中统计数据。
情报源管理
对腾讯威胁情报云,本地运营情报源,其他三方情报源等多来源数据进行统一管理。支持添加和编辑情报源,查看当前接入情报的状态和数据统计。
情报查询
提供页面以供用户查询情报结果,在查询栏输入检索值(如域名),单击查询后系统会根据接入的多源情报,呈现情报判定的结果页。单击详情,可获取每个情报源的详细上下文信息,包括判定依据、威胁线索、关联样本等。
本地情报管理
支持用户提供白名单、自定义情报的运营管理功能。以便实现自建情报数据的全生命周期管理,补充外部情报源的数据覆盖度。
数据运营统计
提供可视化的界面,为情报应用日志提供统计分析,以便了解各用户命中的威胁信息和历史风险。
日志威胁分析
支持 Syslog、Kafka、自定义格式等多种接入告警日志的模式,与本地威胁情报进行高速匹配,以实现威胁事件的发现和定位。
