2023年最佳威胁情报平台

威胁行为者正在采取新的攻击方法来多样化其货币化技术、策略和程序（TTP），因为技术进步降低了准入门槛，而勒索软件即服务（RaaS）的出现使问题更加严重。

为了使组织能够达到这种复杂程度，威胁情报必须成为其安全策略的重要组成部分，因为它提供有关当前威胁的可操作信息，并帮助保护企业免受恶意攻击。

威胁情报平台是什么？

威胁情报平台（TIP）是一种技术，使组织能够从多个来源收集、分析和汇总威胁情报数据。这些信息使公司能够主动识别和减轻潜在的安全风险，并防御未来的攻击。

Cyber threat intelligence是一个重要的企业安全组件。通过监控最新的网络威胁和漏洞，您的组织可以在它们破坏您的IT资产之前检测和应对潜在的安全漏洞。

威胁情报平台是如何工作的？

威胁情报平台通过从多个来源收集威胁情报数据（包括开源情报（OSINT）、深度和暗网情报和专有威胁情报源）来帮助公司减轻风险。

TIP会分析数据，识别模式、趋势和潜在威胁，然后与您的SOC团队和其他安全系统（如防火墙、入侵检测系统和安全信息和事件管理（SIEM）系统）共享这些信息，以减轻对您的IT基础设施的破坏。

威胁情报平台的好处

威胁情报平台为组织提供了各种好处，包括：

• 主动威胁检测
• 改善安全姿态
• 更好的资源分配
• 简化安全操作

TIP的其他优势包括自动化威胁响应、成本节约和增加的可见性。

威胁情报平台的关键特点

威胁情报平台的主要特点包括：

• 数据收集能力
• 实时威胁优先级排序
• 威胁分析
• 能够监控深度和暗网
• 丰富的图形库和数据库用于可视化攻击和威胁
• 与现有安全工具和系统集成
• 研究恶意软件、钓鱼欺诈和恶意行为者

最好的TIP可以从多个来源和格式收集、归一化、聚合和组织威胁情报数据。

AutoFocus

AutoFocus是一种基于云的威胁情报平台，可让您在不需要额外IT资源的情况下识别关键攻击、进行初步评估并采取措施来纠正情况。该服务从您的公司网络、行业和全球情报源收集威胁数据。

AutoFocus提供了Unit 42（Palo Alto Networks威胁研究团队）关于最新恶意软件活动的情报。您可以在仪表板上查看威胁报告，从而增加对恶意行为者的技术、策略和程序（TTP）的可见性。

关键特点

• 其Unit 42研究源提供了关于最新恶意软件的可见性，包括它们的策略、技术和过程的信息
• 每天处理4600万个真实世界的DNS查询
• 从思科、Fortinet和CheckPoint等第三方来源收集情报
• 该工具通过开放和灵活的RESTful API向安全信息与事件管理（SIEM）工具、内部系统和其他第三方工具提供威胁情报
• 包括用于勒索软件、银行木马和黑客工具的预构建标签组
• 用户还可以根据自己的搜索条件创建自定义标签
• 与STIX、JSON、TXT和CSV等各种标准数据格式兼容

该工具的定价没有在Palo Alto Network网站上公开。购买者应该联系公司的销售团队获取报价，您也可以请求产品演示，了解更多解决方案的功能以及如何将其应用于您的企业。

犯罪IP

Criminal IP是一个CTI搜索引擎，提供关于所有网络资产的全面威胁信息。它利用AI机器学习技术通过24/7的扫描过程监视全球IP地址的开放端口，并提供带有5级风险评分的报告。

除了是强大的搜索引擎外，犯罪IP还提供各种应用程序，如Attack Surface Management、渗透测试和漏洞和恶意软件分析。

主要功能

• 漏洞分析和CVE信息提供
• 实时收集和分析全球IP地址数据
• 与各种现有工作流和产品集成

ManageEngine Log360

ManageEngine Log360是一个日志管理和SIEM工具，为公司提供网络安全的可见性，审计活动目录更改，监控其交换服务器和公共云设置，并自动化日志管理。

Log360结合了五个ManageEngine工具的功能，包括ADAudit Plus、事件Log Analyzer、M365 Manager Plus、Exchange Reporter Plus和Cloud Security Plus。

Log360的威胁情报模块包括一个包含全球恶意IP的数据库和一个STIX/TAXII威胁订阅处理器，经常从全球威胁订阅源中检索数据并更新您。

主要功能

• 包括集成的云访问安全代理（CASB）功能，帮助监控云中的数据，检测影子IT应用程序，并跟踪经批准和未经批准的应用程序
• 检测企业网络、终端、firewalls、Web服务器、数据库、交换机、路由器和其他云源中的威胁
• 实时事件检测和文件完整性监控
• 使用MITRE ATT＆CK框架对发生在攻击链中的威胁进行优先排序
• 其攻击检测包括基于规则的实时关联、基于行为的基于ML的用户和实体行为分析（UEBA）和基于签名的MITRE ATT＆CK
• 包括集成的data loss prevention（DLP）用于电子数据取证、数据风险评估、内容感知保护和文件完整性监控
• 实时安全分析
• 集成的合规管理

Log360可以一次下载一个文件，并分为免费和专业两个版本。用户可以在30天的试用期内体验专业版的高级功能，之后这些功能将转换为免费版。

AlienVault USM

AlienVault USM是AT&T开发的平台。该解决方案提供威胁检测、评估、事件响应和合规管理的统一平台。

AlienVault USM每30分钟从AlienVault Labs获取更新，这些更新涵盖整个威胁景观中发现的不同类型的攻击、新兴威胁、可疑行为、漏洞和利用。

AlienVault USM 提供了对您的企业安全架构的统一视图，使您能够监视本地或远程位置上的网络和设备。它还包括SIEM功能、AWS、Azure和GCP的云入侵检测、网络入侵检测(NIDS)、主机入侵检测(HIDS)和终端检测和响应(EDR)。

主要功能

• 实时僵尸网络检测
• 命令与控制(C&C)流量识别
• 高级持续性威胁(APT)检测
• 符合GDPR、PCI DSS、HIPAA、SOC 2和ISO 27001等各种行业标准
• 网络和主机IDS签名
• 集中事件和日志数据收集
• 数据外泄检测
• AlientVault通过单一的管理界面监视云和本地环境，包括AWS、Microsoft Azure、Microsoft Hyper-V和VMWare

该解决方案的定价从每月1075美元起，供应商提供了14天的免费试用期，以了解该工具的能力。

Qualys威胁防护

Qualys Threat Protection是一种提供高级威胁防护和响应能力的云服务。它包括实时的漏洞威胁指标，将Qualys和外部来源的发现结果进行映射，并持续将外部威胁信息与您的漏洞和IT资产清单进行关联。

通过Qualys威胁防护，您可以手动从小部件和搜索查询中创建自定义仪表板，并对搜索结果进行排序、过滤和细化。

主要功能

• 集中控制和可视化面板
• 提供漏洞披露实时信息
• 提供零日攻击、公开利用、主动攻击、高横向移动、高数据丢失、拒绝服务、恶意软件、未补丁、攻击工具包和易受攻击的实时威胁指标
• 包含一个搜索引擎，允许您通过创建特定的资产和漏洞的即席查询来查找信息
• Qualys威胁防护将外部威胁信息持续与您的漏洞和IT资产清单进行关联

他们提供30天的免费试用期，让购买者在决定购买之前了解该工具的能力。

SOCRadar

SOCRadar自称为一种基于SaaS的扩展威胁情报(XTI)平台，结合了外部攻击面管理(EASM)、数字风险防护服务(DRPS)和网络威胁情报(CTI)。

该平台通过提供对基础设施、网络和数据资产的可见性来改善公司的安全姿态。SOCRadar的功能包括实时威胁情报、自动化的深网和暗网扫描以及集成的事件响应。

主要功能

• 与现有安全堆栈（如SOAR、EDR、MDR和XDR）和SIEM解决方案集成
• 拥有超过150个信息源
• 该解决方案提供关于各种安全风险的情报，如恶意软件、僵尸网络、ransomware、钓鱼、恶意声誉、被黑网站、分布式拒绝服务攻击(DDOS)、诱饵系统和攻击者
• 基于行业和地区的监控
• MITRE ATT&CK映射
• 拥有超过6000个组合列表访问（凭证和信用卡）
• 深网和暗网监控
• 检测到的凭证被泄露

SOCRadar有两个版本：SOC团队的网络威胁情报（CTI4SOC）和扩展威胁情报（XTI）。这两个计划都有免费和付费版本，CTI4SOC计划的起价为每年9999美元。

Solarwinds安全事件管理器

SolarWinds Security Event Manager是一个SIEM平台，它收集、规范化和关联来自100多个预构建连接器（包括网络设备和应用程序）的事件日志数据。

使用SEM，您可以有效地管理、监控安全策略并保护您的网络。它实时分析收集到的日志，并使用所收集到的信息在问题严重影响企业基础设施之前通知您。

主要特点

• 全天候监控您的基础设施
• SEM具有100个预构建的连接器，包括AtlassianJIRA，Cisco，Microsoft，IBM，Juniper Sophos，Linux等
• 自动化合规风险管理
• SEM包括文件完整性监控
• SEM收集日志，关联事件，并在一个单一的窗口中监控威胁数据列表
• 该平台拥有超过700个内置的关联规则
• 用户可以以PDF或CSV格式导出报告

Solarwinds安全事件管理器提供为期30天的免费试用，有两种许可选项：订阅许可，起价为2,877美元；永久许可，起价为5,607美元。该工具的许可是基于发送日志和事件信息的节点数量。

Tenable.sc

基于Nessus技术，Tenable.sc是一个漏洞管理平台，可以提供有关组织安全状况和IT基础设施的见解。它收集和评估IT环境中的漏洞数据，分析漏洞趋势，并允许您优先处理并采取纠正措施。

Tenable.sc产品系列（Tenable.sc和Tenable.sc+）使您能够识别、调查、优先处理和纠正漏洞，以保护您的系统和数据。

主要特点

• 它简化了与CERT、NIST、DISA STIG、DHS CDM、FISMA、PCI DSS和HIPAA/HITECH等行业标准的合规性
• 其被动资产发现功能可帮助您发现和识别网络上的IT资产，如服务器、台式机、笔记本电脑、网络设备、Web应用程序、虚拟机、移动设备和云端设备
• Tenable的研究团队会定期更新最新的漏洞检查、零日研究和配置基准，以帮助您保护您的组织
• Tenable维护了一个超过67,000个常见漏洞和曝光（CVE）的库
• 实时检测僵尸网络和指挥与控制流量
• Tenable.sc Director提供一个单一的窗口，帮助您查看和管理所有Tenable.sc控制台上的网络

Tenable.sc的许可是按年和按资产计费，其1年许可起价为5,364.25美元。您可以购买多年许可以节省费用。

结论

本指南分析了七个威胁情报平台及其突出特点。最适合您的选择取决于您的威胁情报需求和偏好。您可以在选择特定工具之前请求产品演示或注册免费试用。

这将让您能够测试该工具是否符合您公司的目的。最后，请确保他们提供优质的支持，并确认他们的威胁信息更新频率。

接下来，您可以查看cyber attack simulation tools。