PJzhang:国内经常使用威胁情报搜索引擎说明

时间 2019-12-13

标签 pjzhang 国内经常使用威胁情报搜索引擎说明栏目搜索引擎繁體版

原文原文链接

猫宁！！！html

参考连接：linux

https://www.freebuf.com/column/136763.htmlgit

https://www.freebuf.com/sectool/163946.htmlwindows

若是遇到一个ip，查看对方是否是恶意的，不少人一般会想到微步在线，但在国内除了微步在线，还有几家别的平台提供我的免费服务，并且威胁情报不光是查下ip或者域名之类的，安全漏洞情报，安全讯息情报，都是威胁情报的重要组成部分。安全

微步在线服务器

https://x.threatbook.cn/网络

能够查询ip、域名、文件hash、邮箱、不超过20M文件，可疑URL 6项，须要注册才能够查询更多的内容，不然只能体验个位数次。性能

例如搜索ip 190.214.217.158，会显示该ip的情报信息，比较重要的是情报聚合的部分，里面有微步在线情报、开源情报、相关事件、存在通信的样本、地址上存在的url。测试

此外还有ip反查，开放端口，可视化，数字签名，用户标签等，可是不少内容是部分打码的，看不到。优化

若是很关注某一个ip或者域名，可使用微步在线的监控功能，实时跟踪变化。

若是查询www.evilhost.com这个域名，会有域名解析、子域名、whois这些新添分类

如今上传一个名为ceshi.py的文件，它会提供详细的分析，并且第一次上传的话，能够选择运行的操做系统windows或者linux，提供25家杀毒引擎进行扫描。

用一个钓鱼站点来测试检测url的效果。平时也能够多多关注微步在线情报社区中的威胁情报讯息，能够对平常工做有启发意义。

微步在线的威胁检测平台TDP就是基于已知的自有或开源威胁情报来探知公司内部是否存在失陷主机，这也算是威胁情报市场化的一个很好的案例。

产品以下：https://threatbook.cn/product/tdp

virustotal

https://www.virustotal.com/gui/home/upload

这个站点目前已经隶属于谷歌旗下，主要功能和微步在线无异，可是能够查看到更多的数据，开放性上作的不错。

对于上传的文件大小没有限制，virtualbox的exe文件166M也能够上传检测，提供70家的杀毒引擎进行测试，固然这个是官网下载的，想必杀毒厂商已经加白名单了。

搜索域名www.amazon.com，查询信息，能够搜索出不少的amazon.com的子域名，dns历史记录，url历史记录，尤为是子域名，很是不错，能够全量查看。

天际友盟安全智能服务平台

https://redqueen.tj-un.com/IntelHome.html

利用本身的蜜罐系统和采集的开源情报，天天都进行更新，内容都是公开显示，能够被方便的爬取做为情报资产进行存储。

天际友盟在情报分类工做上付出了巨大的努力。还组织有烽火台安全威胁情报联盟，http://www.x-cti.org/

奇安信威胁情报中心

https://ti.qianxin.com/

原来是360威胁情报中心，若是是企业用户能够查看全量东西，若是是我的版，查看颇有限，搜一个与色情相关的ip，除了威胁情报一栏能够看，其他的都看不了，查的这个ip是一个色情相关ip。此外上传文件检测威胁大小不超过20M才行。

启明星辰venuseye威胁情报中心

https://www.venuseye.com.cn

功能很少，能够查询ip、域名、文件hash、邮箱4项。能够看到IOC（入侵指标）信息，关联域名、关联url、关联样本。

绿盟威胁情报中心

https://nti.nsfocus.com/

这个情报中心能够查阅的东西不少，包括漏洞相关、安全事件等等，能够看作是一个综合性的威胁情报搜索引擎，查询有关网络安全威胁的一切，很是值得使用。申请注册须要对方审核。

IBM云威胁情报中心

https://exchange.xforce.ibmcloud.com/

能够搜索应用程序的名称来查询其安全情报，整体用起来不是很好。

知道创宇的zoomeye和seebug平台

https://www.zoomeye.org/

https://www.seebug.org/

zoomeye是一个网络空间搜索引擎，查询各类设备、站点、ip、服务的搜索站点，seebug是一个漏洞情报平台，更新最新漏洞详情，并说明漏洞是否是cve、有没有poc，有没有exp。这两个都是知道创宇的产品，我的能够享受免费的服务，二者能够结合使用。

白帽汇的fofa和nosec平台

https://fofa.so/

https://nosec.org/home/index

fofa也是一个网络空间搜索引擎，和知道创宇的zoomeye功能基本相似，nosec是一个威胁情报讯息聚合站点，翻译介绍了大量海外的信息，以供预警参考之用。

360网络安全研究室

http://netlab.360.com/

这里有大量开放自有调用的DGA恶意域名信息，能够用于开源情报的收集之用，并且还能够查询与ddos相关的恶意ip。

alienvault开源情报平台

https://otx.alienvault.com/

注册以后，里面聚合了大量开源情报平台，而且有它们的受关注程度，省掉了不少去寻找这些开源站点的时间。

这里介绍的主要是中国的一些威胁情报平台，固然也有少许国外的平台，在国外从事威胁情报的公司很是的多，并且国外威胁情报的发展较国内也更早更加的成熟一些。

有以下公司能够参考：（内容来自freebuf：威胁情报简介及市场浅析）

BAE Systems Applied Intelligence

CESG认证的英国企业，协助响应国家级网络中出现的安全事件。此协助工做和供应商本身的MSSP业务，为其情报来源的一个组成部分。BAE Systems Applied Intelligence拥有一套强大的流程，奠基了他们能力的基础。此公司目前主要专一于英国、美国和澳大利亚市场，但在欧洲、中东和非洲与亚太地区的28个国家也有业务。BAE Systems Applied Intelligence与政府的联系很密切。就价格而言，该公司处于中等位置。

Booz Allen

Booz Allen主要关注定制的、预测性的威胁情报。与此定位相一致，Booz Allen的人员配置中大部分为分析师。Booz Allen彷佛也拥有一套强大的流程，为其能力打下基础。该公司的大部分业务源起北美，在欧洲、中东和非洲业务较少。Booz Allen主要的垂直行业为金融服务业，在制造与天然资源及其余行业也有少许业务。Booz Allen的服务报价较高。

BrandProtect

BrandProtect的主要关注点是品牌监测，此外还包括反钓鱼，较少关注针对用户基础设施的直接攻击的情报。因此，BrandProtect是威胁情报市场中的新手，也较为边缘化。就品牌监测而言，BrandProtect至关有竞争力。该厂商的方法很是简单：监控多个渠道中的关键字，最主要的渠道是社交媒体。该厂商有一套订价体系，服务对象能够是小企业，也能够是大企业。BrandProtect主要业务分布在北美，只要垂直行业为金融服务业。

Check Point Software Technologies

Check Point的服务只限于针对现有活动的情报，而非预测性情报。该厂商提供的信息源包括恶意程序签名，文件指标，地址指标，Check Point设备可使用这些数据实时决定政策（Check Point的情报只有Check Point的设备能用）。报价较低，是整个市场中最低的报价之一，这点并不意外，由于他们的服务比较基础。Check Point经过其余产品线，在全球范围内运营。

Codenomicon

Codenomicon的产品与其余多数厂商都不同，Codenomicon推出的是一个软件平台（AbuseSA）而不是传统的信息交付服务。该厂商不会本身出产情报，所以在威胁情报市场中也较为边缘化；可是，Codenomicon的平台，是值得关注的，该平台聚集了从其余源收集的信息。Codenomicon的主要市场是欧洲、中东和非洲地区的政府部门，特别是国家计算机安全事件响应团队（各国的CSIRT）。

CrowdStrike

CrowdStrike是一个较新的企业，但因其专业性而拥有良好的声誉。情报内容涵盖各个决策层面，从短时间（好比，几分钟）的行动决策，到长期（好比，五年）的策略决定，包含人工的也包含自动化的决策。订价介于中等到高端，与其服务内容较为相衬，潜在客户也会关注这点。CrowdStrike的主要业务位于北美，关注领域涉及多个垂直行业，包括媒体、政府和其余。

CSIS Security Group

虽然和加拿大安全情报服务的缩写相同，这个丹麦企业是一家独立的实体。该厂商主要关注金融电子犯罪的预防和响应，特别是在欧洲市场。CSIS Security Group大部分业务分布在欧洲、中东及非洲地区，主要针对金融服务行业。CSIS为提供价格数据。

Cyveillance

Cyveillance从1997年开始就专一于威胁情报服务，2009年被QinetiQ收购。Cyveillance的名气能够说是基于他们监控品牌问题和金融犯罪的能力，可是Cyveillance和客户都提到其情报内容也被用于保护实际资产和事件。该厂商的人员构成中，分析师占了较高的比重。报价介于低端和中等之间，大部分业务分布于北美，涉及包括金融服务、媒体、制造和天然能源、零售、交通和公共事业在内的多个垂直行业。

Dell SecureWorks

Dell SecureWorks提供的威胁情报服务多种多样，包括全球通用情报源和定制化情报源，以知足高端客户的需求。该厂商因其专业能力，享有良好的声誉，在全部竞争者中，被说起次数位居第二，报价有高有低，与客户需求挂钩，一些潜在客户较为担忧其高报价。

Digital Shadows

Digital Shadows没有明确提供商品化的实时监控和通知内容，这在威胁情报市场中较为少见，不过该厂商能够实时生成内容，并以STIX兼容的格式导出。该厂商认为自身的优点在于，其追踪的威胁源起方涵盖面很广。报价介于低端到中等之间，可是分析占了其服务的大部分比重，报价偏低，有些出人意料。Digital Shadows大部分客户位于北美和欧洲市场，主要垂直行业为金融服务，还有其余一些零散的客户，处于媒体、制造和天然能源、公共事业等行业。

FireEye

FireEye的服务基于其2014年收购的Mandiant。FireEye起家于调查取证服务和事件响应服务。FireEye在2013年早些时候，发表了关于APT攻击的研究报告，备受关注，也获得了许多好评，同时引发了全球对该问题的关注。独立的威胁情报服务对于FireEye而言仍是比较新的业务，与某些竞争对手相比可能还略显不足。报价处于中等水平，主要垂直行业包括金融服务、制造和天然资源。

Fox-IT

Fox-IT推出了各类不一样的内容，以支持战术性决策和策略性决策；Fox-IT的服务还覆盖了基础设施威胁以及必定程度的金融犯罪和品牌保护。这点值得关注，由于Fox-IT的规模比较小；可是，Fox-IT的人员构成中，分析师的比重略低。Fox-IT认为其总部位于荷兰，能够从俄罗斯等欧洲国家得到高质量的情报。该厂商的传统市场为欧洲，尤为是斯堪的纳维亚和英国。主要垂直行业包括金融服务、零售和媒体。报价为中等水平。、

Group-IB

东欧通常被认为是威胁和诈骗活动的重要源头。Group-IB，总部位于莫斯科，能够对东欧地区的活动深刻研究，具备必定市场优点。Group-IB主要关注网络诈骗和品牌问题。该厂商已有坚实的客户基础，集中在欧洲，主要垂直行业为金融服务，报价为中等水平。

IBM

IBM的威胁情报服务脱胎于其收购能力和组织能力，包括2006年收购Internet Security Systems和X-Force，2007年收购Watchfire，2013年收购Trusteer，加上本身的安所有门和研发部门。IBM的威胁情报服务基本与其余服务捆绑在一块儿，只有X-Force威胁分析服务和高级网络威胁情报服务是例外。IBM的内容分析SDK也能够接入威胁情报源。X-Force威胁分析服务仅仅象征性收费。内容分析SDK和高级网络威胁情报服务的报价各有不一样。

IID

IID起家于反钓鱼服务和DNS服务，最后演化为威胁情报服务。IID的优点在于其实时监控和通知服务，勉强可以归类于威胁情报的获取和分析。IID的主要垂直行业为金融服务，主要市场位于北美地区。报价基本处于中等水平。

iSIGHT Partners

iSIGHT Partners一直以来都专一于威胁情报服务，后来又加入了一些事件响应服务。该厂商的核心能力广受承认，人员构成中分析师占了很大比重。iSIGHT Partners在全部主要地区都有情报收集专员，包括东欧西欧、亚洲、中东和南美，这在厂商当中并很少见。iSIGHT Partners很擅长树立品牌意识，在全部竞争者汇总，被几回的次数最多，网站被引用的次数也最多。主要垂直行业为金融服务和政府。iSIGHT Partners采用了新颖的报价模式，报价融合了客户的市场价值及其余因素。所以，iSIGHT Partners得报价也有高有低，价位大致是中等到高。

Lookingglass

Lookingglass的主要产品为一个平台，该平台整合并分析从多个源得到的情报，不过该平台也能生成原创内容。参考网站也有说起Lookingglass可以高度响应用户需求，可是Lookingglass人员不足有时也会引发关注。该厂商的主要业务分布于北美，专一于金融服务和政府，报价高低不等，大致为中等水平。

Malcovery

Malcovery在市场上相对较新的供应商，在检测基于邮件的威胁方面有创新突破，特别是针对钓鱼活动的检测，加上Malcovery价格适中，赢得了一片赞誉。Malcovery的全部业务都在北美，主要垂直行业为金融服务，也涉及其余一些媒体和零售等行业。报价为低到中等水平，大多数交易趋于低端。

Norse

Norse提供相对标准的MRTI类型的内容，好比IP地址和恶意程序URL，定位数据，由Norse自家的蜜罐网络生成（而不是客户的网络）。Norse的蜜罐假装为各类不一样的设备，从标准的服务器到专有的医疗服务系统。Norse的创新点颇有意思，基于贴近攻击源的设备进行准预测。参考客户反馈称，Norse的内容很优质，特别是基于Tor的网络。由于缺少资源产生的问题有时会削弱Norse的客户响应能力，市场中的其余较新、较小规模的供应商也有一样的问题。Norse的大部分业务分布于北美，客户群所处行业各不相同，涵盖银行和证券、政府、技术、通讯和媒体。报价处于低到中等水平，大部分交易趋于中等价格。

One World Labs

One World Labs认为其自动化收集、分析内容的能力较为独特——特别是从Tor或其余暗网流量获取的内容。价格从低到中等各异，大部分集中于中等水平。主要业务集中于北美，垂直行业涉及范围较广，最关于金融服务与医疗行业。

RSA——EMC公司信息安全事业部

RSA的服务于市面上其余供应商的服务有些不一样。RSA的威胁情报聚焦基础设施（经过RSA Live）和欺诈（经过FraudAction），其中FraudAction也能够做为独立产品使用。FraudAction的性能比较完善，现已用于多个垂直行业，而不只局限于传统的金融服务。其中一家参考网站特别说起，RSA的客户满意度高部分缘由在于RSA理解了特定的用户需求。RSA的报价信息不明。

SenseCy

SenseCy是威胁情报市场中相对较新的玩家。SenseCy主要聚焦于威胁情报的获取和分析，同时也提供实时监控和通知内容，主要关注的领域包括伊斯兰背景的激进黑客活动，以及中国和俄罗斯的黑客。SenseCy的总部位于以色列内坦亚，所以该厂商的主要业务分布于中东地区，主要服务于金融服务行业，价格高低不等，取决于客户所选的服务，已成交的业务多为低价服务。

Symantec

在威胁情报市场，赛门铁克最知名的就是其长盛不衰的DeepSight服务，属于实时监控和通知的范畴。赛门铁克较高端的服务提供更深刻的分析，基于这一点，赛门铁克在威胁情报的获取和分析方面并不突出。赛门铁克提供分集的服务，以知足低预算和高预算的需求，大部分客户购买的为低价服务，而高价服务的交易额占其收入的很大部分。像赛门铁克这样大型的企业，业务遍及全球多个地区，但略微偏向北美，涉及众多垂直行业，较为倚重金融服务。

Team Cymru

Team Cymru推出了一系列付费服务和非营利服务，后者是经过Team Cymru Research NFP提供的。除了官网和推广手册上的少许信息，Team Cymru并未过多地介绍自家的能力和服务。所以，很难评估Team Cymru的服务质量和付费服务价格。

ThreatStream

ThreatStream是另外一家较新、规模较小的企业。ThreatStream的核心高层人员拥有强大的SIEM背景（来自ArcSight），这一点也体如今其产品中。该厂商的自动化能力获得了用户的承认，而对SIEM的整合也是其重要优点之一。ThreatStream的主要业务位于北美，主要关注政府和金融服务。价格为低到中等。

Verisign

Verisign经过iDefense服务，较早进入市场，品牌知名度高。Verisign不断优化，吸引客户，好比全面的服务、强大的情报处理能力和大量遍及各地的分析师（并拥有多语言背景）；可是，其余竞争者也有了这些特点。所以，iDefense如今面临着激烈的竞争。Verisign的主要业务位于北美，主要垂直行业为金融服务和媒体，价格趋于中等水平。

Webroot

Webroot最先是恶意程序解决方案供应商，但在2010年有了业务拓展，推出BrightCloud威胁情报服务。Webroot大部分威胁情报业务经过OEM渠道交付，主要客户为其余供应商。所以，咱们没法得到关于Webroot垂直行业的相关信息。Webroot还推出了针对企业的相应服务。Webroot的大部分业务位于北美，欧洲也有部分业务。价格信息不明，不过交易规模有大有小（OEM交易趋向于大规模）。