威胁情报检测与分析 API

办公网终端/生产网及DMZ区服务器的威胁发现和失陷检测

• 通过黑客活跃C&C、木马下载站、矿池等情报数据，对办公终端、服务器的DNS等相关外联域名/IP进行威胁检测，掌握被控情况，发现各类APT、远控、窃密、挖矿、勒索等威胁，并提供相关攻击组织、木马家族、处置建议等。

漏洞情报赋能漏洞应急、漏洞运营体系全面提升

• 全面、最新的漏洞情报，帮助聚焦高风险漏洞进行自动化漏洞应急响应和运营闭环，具体的分析数据，可执行的漏洞排查、修复、规避操作，能完整应用到漏洞应急和运营的各环节。

Web/邮件/SSH等公网开放的应用或者服务的外放访问IP的风险识别

• 通过海量IP信誉基础信息及情报数据，对外网访问的源IP进行风险识别，发现相关IP是否属于扫描、撞库、漏洞利用、垃圾邮件、僵尸网络等风险，并提供该IP的基础信息，比如代理、VPN、网关出口、IDC、动态IP、爬虫、移动基站等。

SOC/SIEM大数据平台或WAF/IPS/NGFW等安全设备的情报赋能

• 通过云端威胁情报，对SOC/SIEM已经收集的各类日志数据进行分析，增强对相关日志数据的威胁发现和检测能力，对WAF/IPS/NGFW等告警日志进行自动化的分析研判、告警分级处置，提高运营效率。

内外部安全事件的关联拓线及溯源追踪

• 对内外部安全事件中的域名/IP/Hash进行关联分析，通过域名的PassiveDNS以及Whois等数据，对于背后的攻击组织/个人进行拓线和溯源，发现背后攻击者的姓名、邮箱、QQ号、手机号码等真实或虚拟身份。

终端/服务器的可疑文件/进程是否属于恶意程序的分析识别

• 通过微步云沙箱的分析能力，对办公终端、Web/FTP/邮件附
• 件等恶意文件进行自动化的多引擎、沙箱分析，发现相关文
• 件是否属于木马、勒索、挖矿、黑客工具等恶意文件，并进
• 一步提供关于该文件的多引擎、静态、动态行为分析报告。