安天威胁情报中心

安天威胁情报中心 - 图1

威胁情报应用

多引擎对照分析

全球主流的反病毒引擎集成分析能力,威胁检测能力与深度学习算法技术相结合,基于云端海量情报数据,实现高准确率样本多引擎扫描分析,辅助用户进行样本分析及威胁分析检测。

在线PACA包分析

在线解析中小型数据包获取(PCAP)文件判定威胁,协助用户在网络流量数据威胁检测、恶意代码分析、网络流量取证等多场景下进行使用,快速分析处理实现威胁鉴定。

应用日志解析

通过内置解析规则对主机、安全设备、网络设备、应用系统等日志进行解析,及时发现日志中存在的异常事件及安全威胁,协助用户进行应用系统安全分析及威胁分析、取证、溯源等。

威胁狩猎

基于海量样本库和情报库,支持对关注当前或历史的恶意活动设定恶意威胁检测策略,通过样本库规则分析比对,输出策略相关威胁样本结果。帮助用户精准的定位威胁样本,加强用户环境纵深防御体系能力。

情报守候

支持对威胁检测分析过程中获取的高优先级或重点关注的威胁情报信息进行标记,云端情报分析中心会实时监控、持续跟踪标记情报,及时给用户发送情报威胁守候结果信息,协助用户进行情报获取、资产保护、安全威胁监测。

邮件解析

拆解邮件样本文件,分析邮件的协议、邮件格式、接收/发送服务器、正文内容及附件等内容并进行威胁判定,帮助用户进行威胁检测分析,保护用户企业通信安全和稳定。

情报优势

遍布全球的威胁感知能力

安天反病毒引擎覆盖全球21亿部手机设备和全国八十万台以上防火墙节点,具有对威胁和异常风险的及时感知和发现能力;国家级骨干网、教育网部署有数千台网络探针,覆盖大量终端网络安全事件,为威胁情报平台提供鲜活的威胁信息支撑。

🙋‍♀️情报数据多源采集及自生产

全球超过100个采集源进行威胁情报的采集,时时获取最新的威胁情报;同时与全球超过30家安全厂商及安全组织进行最新样本的交换时时获取最新的威胁情报,共同抵御新威胁,每日捕获新威胁样本超过百万,捕获流量数据可疑URL访问事件超过10亿条。具备远控样本的深度挖掘和情报生产能力,支持从超过400个远控家族的载荷中静态提取配置信息,生产传统情报及向量级情报。

丰富的情报数据类型

基于安天遍布全球的威胁感知数据,持续对捕获样本进行动静态分析,已构建超百亿级威胁知识图谱。通过安天20年分析能力积累,持续输出生产包括机读情报和向量情报20余种威胁情报类型,标识超过30种威胁类型情报。针对高级威胁分析场景能够提供完整的运营级情报同源关联分析能力,针对威胁检测场景能够向全系统供应向量级威胁情报,赋能威胁分析及检测。

专家团队深度分析高级威胁情报

安天是中国应急响应体系中重要的企业节点。打造了“第一时间启动,同时应对多线威胁,三体系联动,四作业面协同”的应急体系。安天在高级持续性威胁(APT)的发现、监测和分析方面进行了大量工作,特别是针对超级大国的网空攻击能力、装备体系和支撑工程体系,进行了全面深入分析,发布了大量分析报告。

威胁情报检测系统(TDP)

威胁情报赋能威胁检测,让威胁一目了然。

产品简介

一款集成威胁检测与流量日志解析功能的网络威胁检测系统。对外提供丰富接口,配合安全产品调用。能够独立对流量、日志进行威胁检测,具备对流量进行解析、过滤、富化、内容转译、标准化,静态向量提取、IOC匹配、全要素检测的能力,具备威胁事件加权、APT事件判定的功能;能够输出标准化的检测结果与统计报告。支持软件形式的部署及集成,提升用户威胁检测能力。
安天威胁情报中心 - 图2

核心功能

支持多源数据检测

支持采集流量日志检测;支持接入防火墙、IDS、IPS等网络安全设备监测日志检测;支持对接SOC、SIEM类产品安全日志检测;具备日志标准化丰富化能力,实现日志集中采集,统一管理。

威胁情报检测和消费能力

具备IOC、SNORT规则(APT、勒索、漏洞类情报)、等多种情报类型,系统通过细粒度的情报对流量、日志进行全要素检测,提升威胁发现、检测能力。

精炼告警并丰富日志信息

能够基于最新的知识库、情报库、恶意代码库、规则模型等多种安全知识及检测规则,对日志进行误报过滤、标准化、丰富化、标签化、归并化处理,精练告警提升业务系统数据应用能力。

多视角多维度聚焦威胁

对告警日志进行归并形成细粒度的威胁事件,将事件进行多维度的聚合,避免运营人员被海量告警淹没,漏掉重要事件。提供多种视角报告,可以从攻击者维度、资产维度、威胁维度等多个方面观测域内的威胁情况,有效提升用户的威胁感知能力。

自动化关联分析辅以人工交互

结合威胁情报云服务,为用户提供专业的情报分析工具。支持情报查询、分析、溯源等人机结合的交互式分析方式,自动化的完成关联分析、溯源分析、同源分析,帮助安全分析人员提供分析依据并快速分析威胁,最大程度减少作业时间,提升分析效率。

威胁事件评估推荐

根据威胁事件相关的攻击者溯源情况、威胁影响范围情况、威胁事件等级、资产保护等级、攻击技战术等多个维度对事件进行综合评估,生成评估结果,并将重要威胁事件推荐,方便分析人员从海量告警日志中快速定位关键威胁。

客户价值

精准的威胁检测

基于安天海量级威胁情报数据,与用户导入自生产和获得的威胁情报数据,辅以云端查询结合威胁情报云服务,为用户提供新时效,高精度的威胁情报检测服务。

多业务场景适配

支持软件形态与硬件设备部署方式。能够集成或对接配合其他安全设备进行情报赋能,能够独立运行做为基于威胁情报引擎的流量检测设备,同时具备情报检测能力与分析能力。

高效的威胁处置

基于高精度的检测引擎过滤,经过系统的处理,优化,排除大量误报信息,对剩余告警日志通过自动化归并、聚合、推荐,将关键威胁聚类呈现,极大的提高处置效率。

高附加值的业务支撑

具备完善的支撑管理能力,能够对资产、组织结构、权限、系统审计日志等进行有效管理,在不依赖外部系统情况下也能够发现未知资产,对资产进行核查、登记,并关联对应的责任人及部门。

高级威胁检测

可持续性、高质量为用户提供APT威胁情报。系统能够准确的发现APT事件并形成报告,充分披露攻击组织、攻击行动、攻击目标、攻击意图等信息,使客户更全面了解攻击对手,提前部署应对措施。

应用场景

用于基础的安全防御加固

产品接口通用,服务轻量,从设计之初便基于为其他安全产品赋能,逐步扩展功能范围,形成良好的兼容性,提升其他安全设备威胁情报的检测能力,加固安全防御体系。依托于安天多年积累的海量威胁情报数据,结合情报云服务,提供高性能威胁情报检测查询能力。可广泛兼容IDS/IPS设备、NDR产品、态势感知产品、终端防御产品以及其他安全防护系统。

海量告警无法找出关键威胁

自动同步安天情报中心的海量威胁情报库、威胁知识库,结合用户自运营的情报体系,形成高准确度、实时性的威胁情报检测能力。全要素日志分析提取异常要素,多种业务视角聚合归并告警,极大减少了告警日志数量。基于威胁事件等级、资产保护等级、攻击技战术等多个维度对事件进行综合评估,生成评估结果,方便分析人员从海量告警日志中快速定位到关键威胁。

高级威胁的检出与应对策略

安天专家团队一直持续跟踪国内外的APT攻击组织和攻击事件,涵盖来自 30多 个国家/地区,200 多个攻击组织,形成攻击组织和威胁事件的高价值情报信息。TDP对威胁进行深度分析,提取多维、细粒度的向量特征情报及关键内容,准确发现APT攻击事件,并有效给出攻击组织、攻击行动、攻击目标等信息,帮助更加全面的了解攻击对手。

封闭内网环境安全监控

威胁情报检测系统提供在线更新和离线更新两种方式,当授权激活后的系统检测到链接外网时,系统会不定期在线自动获取云端情报库更新包;对于封闭网络环境提供可下载更新包,人工手动导入系统,更新内容包括但不限于:订阅信息、系统软件更新、安天部分或全部情报源数据更新等。

威胁情报分析系统(TID)

海量威胁情报查询分析平台,先人一步掌握情报信息。

产品简介

整合威胁情报聚合、情报分析、情报检索、同源分析、关联分析、组织画像库等安天优势分析能力,以本地系统的方式部署于客户侧环境。支持与态势感知系等业务系统联动,提供情报分析能力,为威胁分析人员提供专业的分析系统。支持与多引擎对照系统、追影分析系统等安天检测分析系统联动,提升威胁检测分析能力,构建情报分析防御体系。安天威胁情报中心 - 图3

核心功能

海量情报数据快速查询

快速查询安天海量情报数据,查询对象包括了可疑IP、域名、URL、邮箱以及文件HASH等。向用户提供包括威胁情报、威胁知识、网络基础信息在内的更加智能化的情报信息。

🙋‍♀️多源异构威胁情报聚合

汇聚了安天自生产高质量情报、开源情报以及各厂商情报在内的100+个情报源,形成海量的基础威胁情报库,为系统的威胁分析环节提供有力的数据支撑。

交互式多维度深度分析

具备40余种威胁关联分析与13种样本同源性分析能力,通过图形化交互式分析方法,帮助安全分析人员更直观轻松地分析威胁,减少作业时间提高分析效率,有效对网络威胁进行追踪溯源。

高效威胁情报检索与共享

灵活强大的威胁情报检索功能,可对任何输入的与希望获得的情报相关的关键词进行威胁情报相关检索。提供开放RESTful API接口,以及标准化的STIX、OpenIOC等情报共享格式。

专业的高级威胁监控能力

安天持续跟踪国内外的APT攻击组织和攻击事件,涵盖来自30多个国家/地区的300多个攻击组织发起的定向攻击、网络间谍活动、恶意软件、勒索软件等攻击行为,持续输出已知或未知组织的威胁活动分析报告及攻击组织画像。

客户价值

本地专属系统,构建防御体系

用户本地部署,基于安天情报数据,结合第三方情报源管理,搭建用户本地专属威胁情报分析系统。支持隔离网环境部署,情报数据、威胁分析数据本地存储,安全便捷。提供快速查询情报数据能力,支持与客户侧态势感知等业务系统联动,提供情报分析能力,构建情报分析防御体系。

多源情报管理,威胁无所遁形

提供对安天威胁情报中心情报、第三方机读情报、开源情报、商业情报及用户自建或设备捕获的私有情报等多源情报全生命周期管理功能,聚合用户所有情报源数据,将整合后的多源异构情报数据融入用户情报体系中,在威胁分析中实现价值。

关联同源分析,高效追踪溯源

基于丰富的威胁关联分析和样本同源性分析,根据已知的威胁线索探索发现更多威胁情报,追踪相关的恶意活动,快速关联具有相似行为的APT组织,有效进行威胁追踪溯源。

🙋‍♀️多种共享方式,情报灵活应用

支持快速检索并导出威胁情报,提供STIX、OpenIOC、JSON、YaraSnort等多种格式,使威胁情报获取和共享更加便捷。
支持无缝集成各种安全产品、安全设备中,提升整体威胁检测分析水平。

揭示攻击对手,应对高级威胁

具备一定规模的威胁情报研究分析团队,在情报收集、数据处理、恶意代码分析、网络流量解析、线索挖掘拓展等威胁分析各环节,都有专才覆盖,为威胁情报安全服务产品研发和能力提升提供了强大的基础数据、威胁研判能力支撑。同时持续追踪分析全球APT组织攻击行为,提供高质量的APT威胁情报。

应用场景

安天威胁情报中心 - 图4

发现和识别未知威胁

可对获取到的情报线索进行威胁情报查询和关联分析,对威胁事件的历史数据,有组织的攻击行为展开综合分析,通过图形化分析方法,发现与之相关的未知威胁。

网络攻击追踪溯源

TID可以有效支持安全分析及事件响应,帮助用户进行威胁追踪溯源。在事件溯源分析中可以利用已知的威胁事件,发现更多相关线索,包括攻击工具、攻击资源、攻击手法,甚至攻击者/攻击组织等等,跟踪已发现攻击线索更多的恶意活动,快速还原威胁事件全景。
安天威胁情报中心 - 图5
安天威胁情报中心 - 图6

威胁情报收集

TID对威胁情报的上下文进行汇总分析,提取情报关键要素,形成IP信誉、域名信誉、URL信誉、样本HASH等威胁情报库,支持用户以检索关键词的方式获得需要的情报,同时提供导出情报数据功能用以存档,提供API接口用以支撑第三方安全产品检测需求。

高级威胁应对

分析专家通过APT攻击组织与威胁事件进行分析,提取攻击组织、攻击行动、攻击目标等信息,使用户更全面了解攻击对手。通过对高级威胁的攻击手段或技术进行深度分析,提取多维、细粒度的向量特征情报,组成攻击组织或事件的IOC,用于应对高级威胁的检测与发现。

威胁情报综合分析平台(ATID)

云端SaaS海量威胁情报查询分析平台,便捷高速检索情报信息。

产品简介

ATID具有海量威胁情报在线快速查询功能,可对已知线索的相关情报进行查询,减少情报搜集分析时间;提供图形化的威胁关联和同源分析方法,全面揭示攻击者的攻击工具、攻击资源、攻击手段,有效进行威胁追踪溯源;支持海量威胁情报检索与导出,帮助不具备分析能力的用户能够快速获得有效情报信息;支持对APT攻击组织及威胁事件报告的检索,帮助用户全面了解攻击对手,为及时做出决策和行动提供重要支撑。云端SaaS服务提供服务,便捷访问。

以后都不许用弧线画!难受死了,已经开始晕了😤

安天威胁情报中心 - 图7

核心功能

SaaS服务在线快速查询

支持在线查询安天全量情报数据,用户无需本地部署任何安全产品,直接通过ATID提供的在线门户即可完成威胁事件的查询、追溯、取证和关联分析等。
安天通过自动化威胁情报采集体系和威胁情报分析集群,积累了大量的高质量的威胁情报数据,支撑威胁情报分析

多源异构情报聚合

汇聚了安天自生产高质量情报、开源情报以及各厂商情报在内的100+个情报源,形成海量的基础威胁情报库,为系统的威胁分析环节提供有力的数据支撑

交互式多维深度分析

具备40余种威胁关联分析(?)与13种样本同源性分析能力,独特交互式分析方法,帮助安全分析人员更直观明了地分析威胁,最大程度减少作业时间,提升网络威胁追踪溯源效率。

高效威胁情报检索与共享

灵活强大的威胁情报检索功能,可对任何输入的与希望获得的情报相关的关键词进行威胁情报相关检索。提供开放RESTful API接口,以及标准化的STIX、OpenIOC等情报共享格式。

专业的高级威胁监控能力

安天持续跟踪国内外的APT攻击组织和攻击事件,涵盖来自30多个国家/地区的300多个攻击组织发起的定向攻击、网络间谍活动、恶意软件、勒索软件等攻击行为,持续输出已知或未知组织的威胁活动分析报告及攻击组织画像。

客户价值

轻量云端服务,便捷灵活使用

基于安天自动化情报采集分析系统二十年历史数据累积,可快速查询安天自生产威胁情报、多源聚合情报、威胁知识、网络基础信息等信息,最大程度减少情报搜集与分析作业时间,支撑用户做出更及时高效的决策和行动。

关联同源分析,高效追踪溯源

基于丰富的威胁关联分析和样本同源性分析,根据已知的威胁线索探索可以发现更多隐藏的威胁情报信息,快速关联筛选具有相似行为的APT组织、企业资产、安全漏洞等信息,辅助追踪相关的攻击行为,有效进行威胁追踪溯源。

多种共享方式,情报灵活应用

支持快速检索并导出威胁情报,提供STIX、OpenIOC、JSON、Yara等多种格式,使威胁情报获取和共享更加便捷。支持无缝集成各种安全产品、安全设备、威胁检测系统等其他安全防护软硬件产品,显著提升传统安全解决方案对于未知威胁的发现和防护能力。

分析攻击对手,应对高级威胁

具备一定规模的威胁情报研究分析团队,在情报收集、数据处理、恶意代码分析、网络流量解析、线索挖掘拓展等威胁分析各环节,都有专才覆盖,为威胁情报安全服务产品研发和能力提升提供了强大的基础数据、威胁研判能力支撑。同时持续追踪分析全球APT组织攻击行为,提供高质量的APT威胁情报。

威胁情报API查询服务(APC)

威胁情报赋能威胁检测,让威胁一目了然。

产品简介

威胁情报API查询服务依托安天海量威胁情报库,运用静态分析、动态分析、大数据关联分析、多源情报聚合等先进技术,生产高覆盖度、高准确度、上下文丰富的威胁情报数据。开放API接口服务,支持对文件hash、域名、IP地址、URL等多种信标进行高速递归检测,快速输出威胁判定结果(黑/白)、威胁名称、威胁组织、威胁类型等相关情报信息。SaaS服务支持安全产品和安全设备快速集成,适用于分析感知类、攻击回溯类、运维服务类、解决方案类等多种威胁情报的应用场景,赋能威胁情报检测能力。

核心功能

全面的情报覆盖

拥有海量的IOC情报库,覆盖蠕虫木马、后门软件、僵尸网络、勒索软件等多种威胁类型,囊括数十家开源情报以及安天安全研究团队的APT事件发现跟踪成果

快速的情报更新

通过数年的安全运营,在云端已经形成成熟的运营体系,对于不同来源的数据和情报可以进行自动化或人工的关联分析和研判,保障较新的威胁情报可以迅速同步到情报使用

准确的威胁判定

云端检测基于多重检测机制,通过白名单、多种静态检测引擎、动态沙箱检测、开源情报收集、Yara规则匹配等机制对IOC情报进行综合性的交叉验证,保障情报的准确性

快速的情报更新

通过数年的安全运营,在云端已经形成成熟的运营体系,对于不同来源的数据和情报可以进行自动化或人工的关联分析和研判,保障较新的威胁情报可以迅速同步到情报使用。

客户价值

海量情报数据

具备数十亿级的文件信誉库和百亿级的关联关系及超千万(?)的有效威胁情报规则,日更新数百万级的情报信息,数据规模与查询性能在国内前列。

威胁快速查询

依托安天海量威胁情报的积累,基于高覆盖度、高准确度、上下文丰富的威胁情报数据。支持用户对文件hash、域名、IP地址、URL等多种信标进行高速检测,快速输出威胁信息、家族信息,辅助用户进行安全分析,赋能威胁发现和检测能力。

快速部署集成

基于公有云SaaS接口封装,可以快速极少的工作量将威胁情报检测能力集成到客户产品,构建威胁的综合防御能力。

资产风险识别

通过快速查询,精准发现内网主机可能存在的威胁及信息变动情况,判定是否存在挖*、勒索、后门、APT等威胁,并可提供相关威胁样本信息,支撑企业安全响应能力,保护企业信息安全。

可机读情报 / TrustSteam

功能强大的威胁情报规则,赋能安全产品和安全设备。

产品简介

为用户提供可机读威胁情报规则产品,用户将最新获得规则库可直接添加到可消费规则的安全产品和安全设备,达成集成威胁情报的能力。
威胁情报规则包括恶意哈希、IP信誉库、恶意URL源、域名信誉库、Email信誉库、僵尸网络C&C、APT IOC等。

核心功能

恶意哈希库

具备数百亿级别的恶意文件信誉库,覆盖最危险、最普遍和最新出现的恶意软件。通过威胁感知能力,输出高危、流行、新型等场景的威胁规则。

IP信誉库

恶意主机信息,包含IP地址相关的上下文信息,如: 地理位置、开放服务、关联物理设备信息等。

恶意URL源

丰富的恶意URL链接和网站资源,覆盖放马、钓鱼、僵尸网站等多种类型。
域名信誉库
恶意域名信息,包含域名相关的上下文件信息,如: 解析记录、WHOIS信息等。

Email信誉库

恶意Email信息,包括恶意邮箱信息。

僵尸网络C&C

包括C&C服务器和相关恶意对象。

🙋‍♀️APT IOC

包括恶意域名、主机、恶意IP地址、对手用于实施APT攻击的恶意文件、识别规则(yara)

客户价值

丰富威胁情报信息库

提供结构化、可被设备识别、种类丰富的威胁情报规则,丰富完善客户现有威胁情报信息库,提升威胁检测能力

赋能响应系统

赋能客户侧利用情报数据自动或手工执行响应动作的工具和系统,赋能终端设备/产品威胁情报检测、威胁发现的能力

人读情报-战略/信息情报

定制化推送可读情报,掌握当前安全动态。

产品简介

安天战略情报/信息情报依靠专业的威胁情报分析工程师对相关信息的分析、理解、研判生产情报,包括高级威胁分析报告(内部版)、重要趋势性分析报告、威胁通报预警、前瞻性研究成果与技术文献翻译等。依托安天高阶威胁情报业务订阅平台,定制化推送情报信息,帮助客户更好地掌握最新的安全动态、了解全球安全态势,提升自身安全意识和应对未来威胁的能力。
安天威胁情报中心 - 图8

核心功能

👍👍👍高级威胁深度分析报告👍👍👍

深度挖掘APT攻击行动或事件,分析攻击者使用的攻击装备、利用的漏洞,确定攻击链路和攻击意图,并对幕后的攻击组织进行追踪溯源,形成高级威胁深度分析报告。

重要威胁综合分析

针对流行、高危的恶意代码家族等进行综合性分析,包括传播手段、技术原理、危害程度、演变趋势等,结合不同场景进行威胁评估,形成综合性分析报告

👍👍👍前瞻性研究成果👍👍👍

针对超级大国的网络空间工程能力体系研究,了解对手的复合型的能力体系,包括情报获取能力、后端支撑能力以及攻击作业能力等,结合我方防御体系分析,预测可能面临的风险。

👍👍👍APT活动持续追踪👍👍👍

持续跟踪国内外安全动态,包括APT攻击事件、漏洞事件、数据泄露等威胁,对各类网络安全威胁及事件进行分析、理解和研判,形成威胁简报。并根据不同场景的网络环境及面临的威胁进行分析与评估,提出针对性的防护策略与缓解措施,减少攻击面提升防护能力。

客户价值

及时、快速了解网络安全动态

从海量的网络安全信息、关注的恶意代码、漏洞信息、主流外文网络安全技术文献及典型恶意代码分析报告中甄选出重点的网络安全事件信息,让用户更好的掌握国内外安全动态、重大安全事件分析及解决方案,规避自身潜在的风险问题。

提供战略决策支撑

提供高阶、重点威胁相关的情报信息和战略性分析报告,为客户在网安领域的战略决策、制定战略计划提供重要依据。

加强策略规划和投资

针对新的攻击者和威胁提供确实的证据和详尽的分析。帮助用户在自身网络安全方面做出更好的规划、改善其安全形势,减少不必要的风险和开支。

快速响应针对性攻击

更快速响应针对性攻击以及紧急威胁,尽可能披露重大漏洞的详情。