支持商业情报和开源情报的接入,同时集成部分经过筛选的开源情报源供用户选择,丰富用户的威胁情报数据。同时,可实现多个威胁情报源的统一管理和自动情报更新,用户也可通过平台实时监控威胁情报的运行状态。
实现威胁情报的自动聚合,可按照预定义的规则进行威胁情报的自动聚合,将来自商业、开源、内部产生的情报进行有效的处理和关联分析,生成高质量可使用的威胁情报信息。同时平台支持用户自定义情报聚合功能。
可以与用户网络中的安全设备,管理平台等进行有效的集成,提供用于集成的API接口与情报消费设备进行对接,实现情报的自动获取和使用。
能够将内部共享的情报通过聚合后供其他用户以及安全设备使用,帮助用户真正建立威胁情报利用闭环,形成具备内部环境背景信息的个性化威胁情报,应对正在逐渐兴起的可针对攻击。
支持基于syslog的安全日志收集和存储,通过收集内部网络中安全设备,安全管理平台等的日志信息,与聚合后的威胁情报进行碰撞以发现存在的威胁,并产生具备威胁情报上下文信息的告警,帮助用户易于解读告警信息。
通过收集syslog日志的方式,实现威胁情报与本地安全日志的碰撞;多源威胁情报的接入更新,改变原先单一威胁情报无法供多个设备使用的弊端,减少了资源投入;同时提供API接口与安全设备以及安全管理平台快速集成,减少了威胁情报落地过程中用户的开发工作量。
提供的情报管理和情报聚合功能,简化用户威胁情报管理和更新的工作量,保证情报的实时更新和快速聚合,极大提升了用户威胁情报管理和应用水平。
改变单一情报消费的弊端,在用户本地建立完整的情报利用闭环,让用户本地的终端,设备既是威胁情报的消费者,也是威胁情报的生产者,促进威胁情报质量提升。
通过集成威胁情报,原有安全设备的能力得到有效提升,以应对未知威胁以及APT攻击,利用丰富的威胁情报丰富的上下文信息,帮助用户有效了解威胁,降低安全问题处置难度。
将原有安全设备以及解决方案的日志信息通过归一化处理整合存储到威胁情报平台,用来进行关联分析并与聚合后的威胁情报进行碰撞,为用户提供基于威胁情报的安全预警功能。