传统的安全设备或者解决方案无法与威胁情报直接集成,也就无法达到威胁情报利用的目的,用户要想使用只能进行二次开发,工作量庞大,还需要有安全设备厂商支持,导致威胁情报落地困难。
另一方面新的安全解决方案即便已经集成了威胁情报服务,但是情报信息无法应用到其他设备使用,导致了情报覆盖面狭窄以及需要重复采购威胁情报,造成资源浪费。现有的威胁情报利用方式往往是单向,导致已部署的安全设备或者解决方案只能作为情报的消费者,无法作为情报的生产者,产出具备内部环境背景的威胁情报,以和其他接入威胁情报做聚合,提高威胁情报质量,无法形成情报利用闭环。
虎特ThreatCentarl威胁情报平台是集情报聚合、分发、共享以及威胁预警、威胁追查为一体的智能化威胁情报应用平台,帮助用户实现威胁情报落地,有效提升全网安全威胁防范水平,同时也是安全管理,运维人员以及安全分析师发现问题、定位问题、处置问题的得力工具。
多源威胁情报接入管理
利用威胁情报平台可以实现多个威胁情报源的统一管理和自动情报更新。
威胁情报自动聚合
通过情报的聚合来达到情报信息的校对、去重、信息丰富,以提供威胁情报质量,减少在安全威胁发现过程中的漏报和误报。
威胁情报分发
为用户提供了威胁情报的自动分发功能,可以与用户网络中的安全设备,管理平台等进行有效的集成,实现情报的自动获取和使用。
威胁情报共享
提供了基于社区形式的共享平台,促进内部用户间的威胁情报共享,并能够将内部共享的情报通过聚合后供其他用户以及安全设备使用,帮助用户真正建立威胁情报利用闭环。
基于情报的威胁告警
收集内部网络中安全设备,安全管理平台等的日志信息,与聚合后的威胁情报进行碰撞以发现存在的威胁,并产生具备威胁情报上下文信息的告警。
帮助用户实现威胁情报落地
通过用户本地建立威胁情报平台,一方面可以通过收集syslog日志的方式,实现威胁情报与本地安全日志的碰撞,另一方面多源威胁情报的接入更新,改变了原来单一威胁情报无法供多个设备使用的弊端,减少了资源投入,同时提供API接口与安全设备以及安全管理平台快速集成,减少了威胁情报落地过程中用户的开发工作量。
提升威胁情报管理和应用水平
利用威胁情报平台提供的情报管理和情报聚合功能,简化用户威胁情报管理和更新的工作量,保证情报的实时更新和快速聚合,极大提升了用户威胁情报管理和应用水平。
形成威胁情报利用闭环
通过威胁情报共享的方式,改变单一情报消费的弊端,在用户本地建立完整的情报利用闭环,让用户本地的终端,设备既是威胁情报的消费者,也是威胁情报的生产者,促进威胁情报质量提升。
提升安全威胁发现和处置能力
通过集成威胁情报,原有安全设备的能力得到有效提升,以应对未知威胁以及APT攻击,利用丰富的威胁情报丰富的上下文信息,帮助用户有效定位威胁,了解威胁详情,降低安全问题处置难度。
实现安全设备日志统一存储分析
将原有安全设备以及解决方案的日志信息通过归一化处理整合存储到威胁情报平台,用来进行关联分析并与聚合后的威胁情报进行碰撞,为用户提供基于威胁情报的安全预警功能。