微步在线TIP威胁情报管理平台_威胁情报生产与共享管理系统

立即咨询

立即试用

商务合作

微步在线TIP威胁情报管理平台

微步在线TIP威胁情报管理平台，打造企业/行业专属情报知识中心，国内知名的聚焦情报生产、管理的本地化情报平台。搭载情报共享体系，情报驱动安全运营，5大自研威胁情报生产模型，情报准确率达99.99%。

立即咨询

有效的安全威胁信息难以获取 icon

实际的分析情况

海量安全日志，大量错报误报，有效告警难以识别

日志之间关联少，告警缺少丰富的上下文信息

开源情报准确性差，可用性不高

针对性攻击、实现威胁等高危事件缺乏有效手段

企业威胁情报管理难题多 icon

产品定位

打造网络安全的专属行业情报局，情报驱动安全运营

产品设计框架

产品核心能力

微步在线TIP定义了本地威胁情报管理平台，聚焦情报查询、生产、管理及共享，为安全运营提供决策依据

本地情报挖掘与生产
融合各家检测产品鲜活数据，赋予用户本地情报生产能力

多源情报接入与整合
整合和管理IOC情报、IP信誉、高级报告、开源情报、自定义情报、自产情报、三方商业情报

威胁情报级联与共享
层级化威胁情报管理与分发

纵向+横向情报圈子建立

威胁分析与攻击者档案
业务场景化分析

透过告警直视攻击者资产

三方设备联动与对接
提供本地高并发的检测API，赋能SoC/SIEM、防火墙、WAF等传统安防设备基于威胁情报的能力

产品核心能力-本地情报挖掘与生产 icon

产品核心能力-多源情报接入与整合 icon

多类型情报整合

商业情报、开源情报、三方情报、机读情报、高级情报、自有情报、自定义情报

内置全球领先情报

本地内置微步在线全球领先核心威胁情报数据，每小时级升级，情报数据准确、丰富、实时

异构情报映射与管理

异构多源情报按照标准高质量情报字段细粒度映射融合，纳入情报生命周期全程与评估管理

可对接平台或SaaS API

可通过API方式对接其他情报平台或者云SaaS情报平台返回数据，利用接口技术扩大情报数据范围

产品核心能力-威胁情报级联与共享 icon

威胁情报级联与共享

在总部部署威胁情报共享中心，各分支机构部署情报管理分平台，总平台推送情报到各分支，各平台私有情报自动上报到总平台，总平台可控制是否将各分支上报私有情报进行二次分发，实现总部和分支机构的纵向级联与情报赋能。总部通过标准接口实现和相关单位及监管单位的情报共享及互联互通，形成横向情报共享。

产品核心能力-威胁情报级联与共享 icon

威胁情报云端共享

本地威胁情报管理平台与相关单位情报管理平台之间形成威胁情报行业共享圈。各单位的本地威胁情报管理平台推送情报到云端共享平台，共享圈内部单位可拉取共享情报，增强本地高级威胁检测能力。威胁情报本地赋能威胁情报管理平台可将情报库定向下发至安全设备，提升边界安全设备的威胁感知与检测能力。

威胁情报级联共享

在总部部署威胁情报共享中心，各分支机构部署情报管理分平台，对于无法联网的分支平台，总部可把云端情报及本地自生产情报推送到分支威胁情报管理平台，形成纵向情报共享。

产品核心能力-场景分析与攻击者档案 icon

业务场景分析

对各业务的日志或API查询命中情报的趋势进行统计评估，包括查询趋势、命中趋势、命中情报类型、威胁等级分布、命中情报源等。对各业务情报命中详情进行分析，包括命中的情报、命中次数、严重级别、威胁类型、失陷主机、处置建议等。

攻击者档案

除情报数据外，针对攻击团伙进行档案管理，对攻击团伙的概况、类型、事件、资产进行维护。对各业务线威胁评估中命中的威胁团伙相关情报，可自动创建该团伙档案并录入资产和事件信息。

产品核心能力-情报赋能与自动化处置 icon

威胁情报检测与分析API：通过IOC情报，对DNS日志和出站日志进行检测，发现失陷威胁；通过IP信誉，对入站日志和告警日志进行情报丰富，用于外网攻击和告警的研判、过滤、分析；通过文件hash和沙箱接口，对可疑文件进行静态和动态的启发式分析；通过追踪溯源接口，对威胁事件线索进行深入溯源和拓线关联分析。

IOC API
用于内网主机失陷检测、分析与溯源，接入DNS日志与出站日志，返回威胁类型、严重程度、病毒家族、攻击团伙、APT、PDNS、Whois等。

IP信誉 API
用于入站IP或告警日志研判、过滤、分析，接入入站日志与网络告警日志，返回IP信誉标签、IP类型、地理位置、经纬度等。

文件Hash API
用于对文件进行威胁判定，接入文件Hash日志，返回静态信息、病毒家族、多引擎检测结果、威胁类型。

文件检测沙箱 API
用于对文件进行沙箱检测，上传文件或文件hash，返回沙箱检测报告，包括25款反病毒引擎、行为签名、网络行为、文件释放过程等。

追踪溯源 API
用于对威胁线索进行溯源分析，输入事件IP、域名等线索信息，基于8年PDNS、18年Whois数据进行拓线分析。

产品核心能力-情报赋能与自动化处置 icon

第三方产品联动处置：与SOC、SIEM等安全产品打通，实现威胁情报精准推送，提升安全产品的情报检测与分析能力；通过编排自定义策略和插件与各类第三方安全设备联动联防，实现单点感知全网联动，提升自动化响应能力。

DNS服务器
发现定位失陷主机阻断解析

FW/WAF
告警、访问日志碰撞情报，阶梯封禁

SIEM/SoC
对日志进行情报赋能，提高关联分析能力

安全设备
收集告警日志，可用算法挖掘自有情报

EDR/杀软
终端hash、网络日志，联动阻断或查杀

风控平台
IP信誉标签作为风控因子

情报管理平台
情报上传与下发多级情报共享体系

VPN
根据登录IP地理位置进行登录异常判断

内网交换设备
根据失陷告警联动交换机拒绝主机接入

贷款/优惠活动
贷款恶意拖欠和薅羊毛IP大比例命中恶意IP情报

高质量的情报内容和更准确的情报标签 icon

开放
级联与共享；主流SOC平台对接；全面兼容边界安全设备。

精准
高质量自研情报；自研情报生产模型；情报准确率99.99%。

全链路
高并发情报查询；情报生产管理；威胁分析情报共享。

可落地的情报运营和安全生态体系 icon

借助威胁情报构建完善的安全运营生态体系：通过TIP对安全日志进行关联分析，策略联动处置、本地情报生产及上下游情报共享。

更丰富的情报生产和共享实战经验 icon

应用场景

部署模式

态感平台对接阻断外网攻击与内网失陷主机

网络中有大量的安全设备、网络设备和服务器、中间件等。除了传统的关联规则，急需引入更高效的机制对日志进行过滤、排序、关联分析。SIEM或SOC平台对出站日志进行收集，如DNS日志、上网行为日志、出站HTTP日志等，通过API接口实现与TIP的情报查询，并将查询结果返回SIEM、SOC或者态势感知平台中。根据返回的查询结果可以进行关联分析、告警优先级排列等，提高整个安全运营体系的情报检测与分析能力。

与FW联动的失陷检测与自动化阻断

办公网仅部署防火墙；多办公区域设备复杂难以管理；安全团队人员有限，失陷机器较多。防火墙产品具有记录访问外网IP和域名功能，将该类日志上传到TIP平台进行威胁情报查询，TIP可以根据情报查询结果与防火墙、IPS、上网行为管理实现策略联动。

对接DNS日志

TIP经典的应用场景，内网具有DNS服务器的企业都可应用该场景。通过syslog方式将DNS日志打入TIP中进行情报碰撞，并查看情报碰撞结果；或在直接DNS日志中提取访问域名，并手动查询方式在TIP中进行情报查询。

域名失陷检测与IP告警降噪 icon

态感或安全设备告警日志中对恶意域名，判定高危IP 的检测。海量数据如何建立数据之间的关联分析场景模型和处置模型，提升安全运营效率。本地部署威胁情报管理平台，通过API/syslog方式与态感平台关联赋能。通过情报查询接口对海量态感日志进行过滤、筛选、处置优先级排列、上下文丰富，提升态感平台检测与关联分析能力。提升平台的威胁发现和关联分析能力，例如失陷检测、告警过滤、业务风控、登录异常、情报共享、自动拦截等。全面赋能态感平台，聚焦真实事件、构建关联分析模型、自动化处置能力，全面加速MTTD、MTTR。

情报生产与多源情报管理 icon

面对各类异构情报源，无法发挥多源优势，面对相同的告警事件，缺少有效的管理平台进行信息的管理与共享。TIP通过标准化情报格式接入多厂商明文情报，实现多源情报整合，有效的去除掉大量误报与无效告警。对安全设备的各类安全日志进行数据聚合、分析、处理和提取，补充本地和云端的情报上下文信息，最终生产出符合企业自身的情报数据。TIP集成了国家信息安全漏洞库（CNNVD），可通过API调用的方式，对漏洞名称，漏洞编号进行查询。帮助企业具备情报自生产能力，结合TIP自身情报输出模块，形成情报收集、生产、管理与共享的完整闭环，最终实现情报驱动安全运营。通过高质量的威胁情报准确聚焦关键问题，依据丰富的情报上下文信息研判和处置失陷事件。

数据上报与情报共享

网络安全法、人行金融业态感平台、国有企业数字化转型都要求逐级上报安全数据，逐级构建安全总览与态势感知能力。行业标杆企业与集团总部希望实现安全可视可管可控；下游企业希望通过上级单位情报共享赋能自身安全能力。总部层面以TIP为基础，构建态势感知与情报共享总平台，在二三级分支机构构建态势感知与情报共享分平台，实现安全事件上报和威胁情报共享。自下而上上报安全数据形成态感感知能力，自上而下共享威胁情报数据，赋能安全能力。建设行业威胁情报中心，完成安全数据上报和情报共享工作任务，规范行业体系内网络安全数据与情报数据标准。为各级单位安全协同（一点感知、全网联动）奠定数据基础，上级单位能够对辖属单位安全态势和具体安全事件进行总览，提高安全集中管控能力。

结合IP信誉情报的业务风控 icon

现有风控系统精准性和时效性差，缺少注册账户的 IP 信誉情报数据，画像标签数据缺失，风控计算模型缺少关键因子。在风控系统区域部署TIP，与内部风控系统的业务日志通过 API 实时对接，并确保查询响应时间低于 10ms。IP 信誉情报数据作为风控模型关键因子融入业务风险计算模型。通过IP信誉情报丰富访问账号的风险画像，在满足用户良好使用体验的前提下，精准拦截恶意刷单、羊毛党等恶意行为，帮助企业实现多层次的风险判定与处置机制。结合 IP 信誉情报的风控场景：在注册、登录、下单、支付等全流程风控环节引入情报作为分析因子，进一步提高平台的全流程的风险治理水平。

交付案例表