情報獲取接口
共 1898字,需瀏覽 4分鐘
·
2020-11-15 11:41
產(chǎn)品亮點(diǎn)
產(chǎn)品說明
Red Queen”安全智能服務(wù)平臺(SISP)作為天際友盟為客戶提供各項基于情報應(yīng)用的安全智能服務(wù)的核心樞紐,不僅是國內(nèi)首個的云端一體化安全智能綜合服務(wù)平臺,也是國內(nèi)最大的安全情報聚合、分析與交換平臺。圍繞客戶的定制化需求,“Red Queen”平臺在“Lisa”多源異構(gòu)大數(shù)據(jù)平臺的支持下,可快速進(jìn)行智能化的情報擴(kuò)展挖掘和應(yīng)用場景構(gòu)建,為客戶提供高度定制化的情報應(yīng)用服務(wù)集合,以滿足各類用戶側(cè)的本地化情報使用場景的實際服務(wù)需求。
“Red Queen”安全智能服務(wù)平臺(SISP)的整體技術(shù)架構(gòu)如下圖所示。
多源情報訂閱與情報市場
(1)多源情報供給機(jī)制
天際友盟已通過多種形式與國內(nèi)外多家組織和機(jī)構(gòu)開展安全情報共享與交換合作,以豐富情報來源的總量和質(zhì)量。目前主要的外部情報源包括:
“全球安全情報合作伙伴計劃”:已與IBM X-Force、Rapid7等達(dá)成情報戰(zhàn)略合作,可按需協(xié)助客戶獲得IBM全球12個SOC中心和Rapid7威脅情報中心所提供的海量安全情報支持,包括但不限于實時的惡意IP、惡意URL、惡意域名、垃圾/釣魚郵件、惡意軟件、安全漏洞、安全事件等。
“烽火臺”安全威脅情報聯(lián)盟:借助聯(lián)盟成員企業(yè)的內(nèi)部情報共享與交換機(jī)制,獲得神州網(wǎng)云、思睿嘉得、遠(yuǎn)江盛邦、派網(wǎng)軟件、世平信息、山海誠信、云盾科技、天特信、守望者等國內(nèi)知名安全廠商的獨(dú)有安全情報數(shù)據(jù),包括但不限于IP地理定位、Webshell、PDNS、被黑網(wǎng)站、僵尸網(wǎng)絡(luò)、C&C節(jié)點(diǎn)、tor節(jié)點(diǎn)、掃描器節(jié)點(diǎn)等。
政府機(jī)構(gòu)情報合作:通過與國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)及其他10多個國家的相關(guān)機(jī)構(gòu)開展情報合作,獲得可公開的安全情報支持,如漏洞、威脅、事件、輿情、資訊等。
國內(nèi)廠商情報交換:通過與啟明星辰、綠盟科技、天融信、華為等國內(nèi)安全廠商達(dá)成情報交換合作意向,獲取其可用于交換的安全情報支持,如資產(chǎn)、漏洞、威脅、事件、資訊等。
(2)“情報市場”與專屬“情報集合”
天際友盟在國內(nèi)首創(chuàng)“情報市場”理念,可讓客戶根據(jù)需求自行選擇不同的“情報卡片”(每張“情報卡片”代表著不同情報源的情報數(shù)據(jù)集合,并在卡片內(nèi)詳情中有相關(guān)情報內(nèi)容的概述),形成客戶專屬的“情報集合”,做到按需訂閱、按需議價、智能聚合與定向分發(fā)。
目前,“情報卡片”可提供的信息類型有:
指示器集合:是與安全情報相關(guān)的IP、Domain、URL、Email、Hash、IP段等數(shù)據(jù),并不能完全用STIX標(biāo)準(zhǔn)情報格式來描述,可被認(rèn)為是特殊的情報類別,或可歸入威脅情報范疇。
安全情報:指可以用STIX標(biāo)準(zhǔn)情報格式來描述的資產(chǎn)、漏洞、事件和威脅情報。
安全資訊:指不可用SITX標(biāo)準(zhǔn)情報格式描述的文字、圖片類安全新聞資訊信息)。
(3)情報訂閱獲取機(jī)制
TLP協(xié)議(Traffic Light Protocol,又稱交通燈協(xié)議)是US-CERT對各類安全情報的可共享范圍的一組規(guī)范指南。
“Red Queen”安全智能服務(wù)平臺(SISP)借鑒了TLP協(xié)議,對每一條情報均進(jìn)行了共享范圍標(biāo)注。其中:
紅色:代表該情報定向發(fā)送給用戶,且用戶不能共享該情報。
黃色:代表該情報部分用戶可見,且用戶只能在組織內(nèi)共享。
綠色:代表該情報部分用戶可見,可在組織外部共享,但有范圍限制。
在此基礎(chǔ)上,“Red Queen”平臺根據(jù)客戶的平臺賬戶屬性、實際訂閱需求、情報來源和情報內(nèi)容等的不同,建立了一整套情報公開機(jī)制,以明確客戶可訂閱的情報范圍和內(nèi)容,避免用戶隱私外泄。
產(chǎn)品參數(shù)
| 交付方式 | API |