威胁情报检测系统

产品简介

威胁情报检测系统分为TDP-BASIC威胁情报检测系统-基础版、TDP-STANDARD威胁情报检测系统-标准版两个版本。适用于流量日志检测、安全日志检测,告警日志分析,安全产品情报赋能以及高级威胁检测等多种业务场景。

TDP-BASIC威胁情报检测系统-基础版,是一款威胁情报检测的基础类安全产品,方便集成于其他检测平台,赋能提升其他安全设备威胁情报的检测能力。其依托于安天多年积累的海量威胁情报数据,结合情报云服务,提供高性能威胁情报检测查询服务,可对外输出威胁信息、标签知识、攻击者信息、关联信息等高价值情报数据;具备多源情报综合查询能力,以及丰富的情报内容输出,如:威胁信息、标签知识、攻击者信息、APT、关联信息等;支持自定义情报源检测、情报更新、情报统计、权限管理等功能。由于自身服务轻量,接口通用,方便与安全产品集成调用,可为自有安全产品或第三方安全产品提供情报检测赋能。


TDP-STANDARD威胁情报检测系统-标准版,是一款集成流量日志解析功能与TDP-BASIC全部功能的网络威胁检测系统。对外提供丰富接口,配合安全产品调用,能够独立对流量、日志进行威胁检测,具备对流量进行解析、过滤、富化、内容转译、标准化,静态向量提取、IOC匹配、全要素检测的能力,具备威胁事件加权、APT事件判定的功能;能够输出标准化的检测结果与统计报告。

两款版本均支持软件形式的部署或集成,其中TDP-STANDARD同时为客户提供硬件版解决方案,提供更高效的威胁情报检测能力,更好的兼容性以及更低廉的维护成本。

核心功能
  • 支持多源数据检测

    支持采集流量日志检测;支持接入防火墙、IDS、IPS等网络安全设备监测日志检测;支持对接SOC、SIEM类产品安全日志检测;具备日志标准化丰富化能力,实现日志集中采集,统一管理。

  • 威胁情报检测和消费能力

    具备IOC、SNORT规则(APT、勒索、漏洞类情报)、等多种情报类型,系统通过细粒度的情报对流量、日志进行全要素检测,提升威胁发现、检测能力。

  • 精炼告警并丰富日志信息

    能够基于最新的知识库、情报库、恶意代码库、规则模型等多种安全知识及检测规则,对日志进行误报过滤、标准化、丰富化、标签化、归并化处理,精练告警提升业务系统数据应用能力。

  • 多视角多维度聚焦威胁

    对告警日志进行归并形成细粒度的威胁事件,将事件进行多维度的聚合,避免运营人员被海量告警淹没,漏掉重要事件。提供多种视角报告,可以从攻击者维度、资产维度、威胁维度等多个方面观测域内的威胁情况,有效提升用户的威胁感知能力。

  • 自动化关联分析辅以人工交互

    结合威胁情报云服务,为用户提供专业的情报分析工具。支持情报查询、分析、溯源等人机结合的交互式分析方式,自动化的完成关联分析、溯源分析、同源分析,帮助安全分析人员提供分析依据并快速分析威胁,最大程度减少作业时间,提升分析效率。

  • 威胁事件评估推荐

    根据威胁事件相关的攻击者溯源情况、威胁影响范围情况、威胁事件等级、资产保护等级、攻击技战术等多个维度对事件进行综合评估,生成评估结果,并将重要威胁事件推荐,方便分析人员从海量告警日志中快速定位关键威胁。

  • 强大的安全支撑能力

    提供第三方情报录入和管理功能、资产发现与管理、权限管理、组织结构管理等辅助模块,扩展安全运维能力范围。

客户价值
  • 精准的威胁检测

    基于安天海量级威胁情报数据,与用户导入自生产和获得的威胁情报数据,辅以云端查询结合威胁情报云服务,为用户提供新时效,高精度的威胁情报检测服务。

  • 多业务场景适配

    支持软件形态与硬件设备部署方式。能够集成或对接配合其他安全设备进行情报赋能,能够独立运行做为基于威胁情报引擎的流量检测设备,同时具备情报检测能力与分析能力。

  • 高效的威胁处置

    基于高精度的检测引擎过滤,经过系统的处理,优化,排除大量误报信息,对剩余告警日志通过自动化归并、聚合、推荐,将关键威胁聚类呈现,极大的提高处置效率。

  • 高附加值的业务支撑

    具备完善的支撑管理能力,能够对资产、组织结构、权限、系统审计日志等进行有效管理,在不依赖外部系统情况下也能够发现未知资产,对资产进行核查、登记,并关联对应的责任人及部门。

  • 高级威胁检测

    可持续性、高质量为用户提供APT威胁情报。系统能够准确的发现APT事件并形成报告,充分披露攻击组织、攻击行动、攻击目标、攻击意图等信息,使客户更全面了解攻击对手,提前部署应对措施。

应用场景
  • 业务系统API方式快速集成威胁情报能力

    需要集成威胁情报检测系统(情报盒子)

    安全日志的分析场景

特点优势
  • 海量告警归并

    基于多要素对威胁告警归并,减少重复告警量,免于被海量告警淹没。

  • 多维度事件聚合

    基于多个维度和多视角评估威胁事件集合,从攻击者视角、受害资产视角、威胁视角等分析威胁、处置威胁,可以快速了解域内威胁的情况。

  • 重点威胁推荐

    基于威胁事件的评估能力和动态多维度评分功能,可对威胁事件进行排序,优先推荐重点威胁、有限处置高危威胁。

成功案例

安天以可独立部署于客户侧的威胁情报盒子方式, 为包括多个省级态势感知项目、业务系统、威胁情报系统扩展第三方威胁情报能力,政企客户安全场景赋能威胁情报能力,有效达成威胁防护的客户价值。