運作方式
ReportAgent匿名化威脅資料(IP /16 遮罩、無主機名稱、無檔案內容)- 匿名化的 IoC 提交至 Threat Cloud
- Threat Cloud 驗證、關聯並儲存資料
- 其他代理在偵測管線中查詢 Threat Cloud,從集體情報中受益
主要功能
| 功能 | 詳細資訊 |
|---|---|
| IoC 儲存 | IP 位址、網域、檔案雜湊、URL |
| 關聯引擎 | 相關指標的跨來源關聯 |
| 攻擊活動追蹤 | 將相關 IoC 分組為攻擊活動 |
| 饋送分發 | IP 和網域封鎖清單推送至代理 |
| 目擊儲存 | 追蹤多少代理已看過每個指標 |
| 信譽引擎 | 基於目擊頻率和來源多樣性的信心評分 |
| Sigma 規則分享 | 社群貢獻的偵測規則 |
| 稽核日誌 | 所有提交和查詢的完整稽核軌跡 |
| RESTful API | 程式化查詢和提交威脅情報 |
快速開始
使用公共 Threat Cloud(預設)
無需設定。Guard 啟動時自動連接至公共 Threat Cloud:部署私有實例
企業可以部署自己的 Threat Cloud 伺服器:IoC 類型
| 類型 | 範例 | 描述 |
|---|---|---|
| IP 位址 | 203.0.113.50 | 已知的惡意來源或 C2 伺服器 |
| 網域 | evil.example.com | 惡意網域或釣魚網站 |
| 檔案雜湊 | sha256:abc123... | 已知的惡意軟體特徵 |
| URL | http://evil.example.com/payload | 惡意軟體分發 URL |
攻擊活動追蹤
相關 IoC 被分組為攻擊活動以進行情境分析:Guard 整合
GuardDetectAgent 在事件處理期間查詢 Threat Cloud:
- 從安全事件中提取指標(來源 IP、目的網域、檔案雜湊)
- 向 Threat Cloud 查詢匹配
- 如果匹配,指標的信心評分會貢獻至
AnalyzeAgent的加權裁決 - 威脅情報匹配有固定的信心貢獻值 85
API 端點
| 方法 | 端點 | 描述 |
|---|---|---|
POST | /api/v1/ioc | 提交新的 IoC |
GET | /api/v1/ioc | 按類型和值查詢單一 IoC |
POST | /api/v1/ioc/batch | 批次查詢多個指標 |
GET | /api/v1/ioc/recent | 取得最近報告的 IoC |
GET | /api/v1/health | 健康檢查 |
GET | /api/v1/campaigns/:id | 取得攻擊活動詳情 |
GET | /api/v1/feeds/status | 檢查饋送同步狀態 |
GET | /api/v1/stats | 彙總統計資料 |
饋送來源
Threat Cloud 與 5 個外部威脅情報饋送同步:| 饋送 | 資料類型 |
|---|---|
| ThreatFox(abuse.ch) | 惡意軟體、C2、殭屍網路 IoC |
| URLhaus(abuse.ch) | 惡意軟體分發 URL |
| Feodo Tracker(abuse.ch) | 殭屍網路 C2 伺服器 IP |
| GreyNoise | 大規模掃描和網際網路噪音 IP |
| AbuseIPDB | 社群報告的惡意 IP |