威胁情报
定位:把持续更新的外部威胁情报,与内部工作负载、主机的身份行为关联起来,提前发现失陷与可疑活动。
解决什么问题
安全团队常常"看得见日志,却看不出威胁":海量告警里哪些 IP、域名、文件真正危险,失陷主机潜伏多久,往往缺少判断依据。引入威胁情报,把内部活动比对已知恶意指标,让"有没有被盯上、有没有被打穿"变得可判断。
关键能力
- 情报订阅:持续接入 IP / 域名 / 文件哈希等多源情报,保持指标新鲜。
- IOC 匹配:网络连接、进程、日志与失陷指标(IOC)实时比对,命中即告警。
- 失陷检测:结合 C2 通信、异常外连等特征,识别已被控制的主机与工作负载。
- 联动处置:命中后触发阻断、隔离、通知等响应,缩短从发现到处置的时间。
- 与身份体系联动:将异常身份行为(如某工作负载突发异常外连)与情报关联,定位到具体身份。
与 SPIFFE 的协同
SPIFFE 让每个工作负载都有可验证身份,威胁情报则给身份补上"行为可信"的一维:当某个 SVID 身份出现命中情报的可疑行为,可据身份精确定位并联动阻断——先剥夺其身份与短时凭据,再隔离主机,把爆炸半径压到最小。
了解更多
试用与合作请联系我们。