PJzhang:國內經常使用威脅情報搜索引擎說明

貓寧！！！

參考連接：

https://www.freebuf.com/column/136763.html

https://www.freebuf.com/sectool/163946.html

 

若是遇到一個ip，查看對方是否是惡意的，不少人一般會想到微步在線，但在國內除了微步在線，還有幾家別的平臺提供我的免費服務，並且威脅情報不光是查下ip或者域名之類的，安全漏洞情報，安全訊息情報，都是威脅情報的重要組成部分。

 

微步在線

https://x.threatbook.cn/

能夠查詢ip、域名、文件hash、郵箱、不超過20M文件，可疑URL 6項，須要註冊才能夠查詢更多的內容，不然只能體驗個位數次。

例如搜索ip 190.214.217.158，會顯示該ip的情報信息，比較重要的是情報聚合的部分，裏面有微步在線情報、開源情報、相關事件、存在通信的樣本、地址上存在的url。

此外還有ip反查，開放端口，可視化，數字簽名，用戶標籤等，可是不少內容是部分打碼的，看不到。

若是很關注某一個ip或者域名，可使用微步在線的監控功能，實時跟蹤變化。

若是查詢www.evilhost.com這個域名，會有域名解析、子域名、whois這些新添分類

如今上傳一個名爲ceshi.py的文件，它會提供詳細的分析，並且第一次上傳的話，能夠選擇運行的操做系統windows或者linux，提供25家殺毒引擎進行掃描。

用一個釣魚站點來測試檢測url的效果。平時也能夠多多關注微步在線情報社區中的威脅情報訊息，能夠對平常工做有啓發意義。

微步在線的威脅檢測平臺TDP就是基於已知的自有或開源威脅情報來探知公司內部是否存在失陷主機，這也算是威脅情報市場化的一個很好的案例。

產品以下：https://threatbook.cn/product/tdp

 

virustotal

https://www.virustotal.com/gui/home/upload

這個站點目前已經隸屬於谷歌旗下，主要功能和微步在線無異，可是能夠查看到更多的數據，開放性上作的不錯。

對於上傳的文件大小沒有限制，virtualbox的exe文件166M也能夠上傳檢測，提供70家的殺毒引擎進行測試，固然這個是官網下載的，想必殺毒廠商已經加白名單了。

搜索域名www.amazon.com，查詢信息，能夠搜索出不少的amazon.com的子域名，dns歷史記錄，url歷史記錄，尤爲是子域名，很是不錯，能夠全量查看。

 

天際友盟安全智能服務平臺

https://redqueen.tj-un.com/IntelHome.html

利用本身的蜜罐系統和採集的開源情報，天天都進行更新，內容都是公開顯示，能夠被方便的爬取做爲情報資產進行存儲。

天際友盟在情報分類工做上付出了巨大的努力。還組織有烽火臺安全威脅情報聯盟，http://www.x-cti.org/

 

奇安信威脅情報中心

https://ti.qianxin.com/

原來是360威脅情報中心，若是是企業用戶能夠查看全量東西，若是是我的版，查看頗有限，搜一個與色情相關的ip，除了威脅情報一欄能夠看，其他的都看不了，查的這個ip是一個色情相關ip。此外上傳文件檢測威脅大小不超過20M才行。

 

啓明星辰venuseye威脅情報中心

https://www.venuseye.com.cn

功能很少，能夠查詢ip、域名、文件hash、郵箱4項。能夠看到IOC（入侵指標）信息，關聯域名、關聯url、關聯樣本。

 

綠盟威脅情報中心

https://nti.nsfocus.com/

這個情報中心能夠查閱的東西不少，包括漏洞相關、安全事件等等，能夠看作是一個綜合性的威脅情報搜索引擎，查詢有關網絡安全威脅的一切，很是值得使用。申請註冊須要對方審覈。

 

IBM雲威脅情報中心

https://exchange.xforce.ibmcloud.com/

能夠搜索應用程序的名稱來查詢其安全情報，整體用起來不是很好。

 

知道創宇的zoomeye和seebug平臺

https://www.zoomeye.org/

https://www.seebug.org/

zoomeye是一個網絡空間搜索引擎，查詢各類設備、站點、ip、服務的搜索站點，seebug是一個漏洞情報平臺，更新最新漏洞詳情，並說明漏洞是否是cve、有沒有poc，有沒有exp。這兩個都是知道創宇的產品，我的能夠享受免費的服務，二者能夠結合使用。

 

白帽匯的fofa和nosec平臺

https://fofa.so/

https://nosec.org/home/index

fofa也是一個網絡空間搜索引擎，和知道創宇的zoomeye功能基本相似，nosec是一個威脅情報訊息聚合站點，翻譯介紹了大量海外的信息，以供預警參考之用。

 

360網絡安全研究室

http://netlab.360.com/

這裏有大量開放自有調用的DGA惡意域名信息，能夠用於開源情報的收集之用，並且還能夠查詢與ddos相關的惡意ip。

 

alienvault開源情報平臺

https://otx.alienvault.com/

註冊以後，裏面聚合了大量開源情報平臺，而且有它們的受關注程度，省掉了不少去尋找這些開源站點的時間。

 

 

這裏介紹的主要是中國的一些威脅情報平臺，固然也有少許國外的平臺，在國外從事威脅情報的公司很是的多，並且國外威脅情報的發展較國內也更早更加的成熟一些。

有以下公司能夠參考：（內容來自freebuf：威脅情報簡介及市場淺析）

BAE Systems Applied Intelligence

CESG認證的英國企業，協助響應國家級網絡中出現的安全事件。此協助工做和供應商本身的MSSP業務，爲其情報來源的一個組成部分。BAE Systems Applied Intelligence擁有一套強大的流程，奠基了他們能力的基礎。此公司目前主要專一於英國、美國和澳大利亞市場，但在歐洲、中東和非洲與亞太地區的28個國家也有業務。BAE Systems Applied Intelligence與政府的聯繫很密切。就價格而言，該公司處於中等位置。

Booz Allen

Booz Allen主要關注定製的、預測性的威脅情報。與此定位相一致，Booz Allen的人員配置中大部分爲分析師。Booz Allen彷佛也擁有一套強大的流程，爲其能力打下基礎。該公司的大部分業務源起北美，在歐洲、中東和非洲業務較少。Booz Allen主要的垂直行業爲金融服務業，在製造與天然資源及其餘行業也有少許業務。Booz Allen的服務報價較高。

BrandProtect

BrandProtect的主要關注點是品牌監測，此外還包括反釣魚，較少關注針對用戶基礎設施的直接攻擊的情報。因此，BrandProtect是威脅情報市場中的新手，也較爲邊緣化。就品牌監測而言，BrandProtect至關有競爭力。該廠商的方法很是簡單：監控多個渠道中的關鍵字，最主要的渠道是社交媒體。該廠商有一套訂價體系，服務對象能夠是小企業，也能夠是大企業。BrandProtect主要業務分佈在北美，只要垂直行業爲金融服務業。

Check Point Software Technologies

Check Point的服務只限於針對現有活動的情報，而非預測性情報。該廠商提供的信息源包括惡意程序簽名，文件指標，地址指標，Check Point設備可使用這些數據實時決定政策（Check Point的情報只有Check Point的設備能用）。報價較低，是整個市場中最低的報價之一，這點並不意外，由於他們的服務比較基礎。Check Point經過其餘產品線，在全球範圍內運營。

Codenomicon

Codenomicon的產品與其餘多數廠商都不同，Codenomicon推出的是一個軟件平臺（AbuseSA）而不是傳統的信息交付服務。該廠商不會本身出產情報，所以在威脅情報市場中也較爲邊緣化；可是，Codenomicon的平臺，是值得關注的，該平臺聚集了從其餘源收集的信息。Codenomicon的主要市場是歐洲、中東和非洲地區的政府部門，特別是國家計算機安全事件響應團隊（各國的CSIRT）。

CrowdStrike

CrowdStrike是一個較新的企業，但因其專業性而擁有良好的聲譽。情報內容涵蓋各個決策層面，從短時間（好比，幾分鐘）的行動決策，到長期（好比，五年）的策略決定，包含人工的也包含自動化的決策。訂價介於中等到高端，與其服務內容較爲相襯，潛在客戶也會關注這點。CrowdStrike的主要業務位於北美，關注領域涉及多個垂直行業，包括媒體、政府和其餘。

CSIS Security Group

雖然和加拿大安全情報服務的縮寫相同，這個丹麥企業是一家獨立的實體。該廠商主要關注金融電子犯罪的預防和響應，特別是在歐洲市場。CSIS Security Group大部分業務分佈在歐洲、中東及非洲地區，主要針對金融服務行業。CSIS爲提供價格數據。

Cyveillance

Cyveillance從1997年開始就專一於威脅情報服務，2009年被QinetiQ收購。Cyveillance的名氣能夠說是基於他們監控品牌問題和金融犯罪的能力，可是Cyveillance和客戶都提到其情報內容也被用於保護實際資產和事件。該廠商的人員構成中，分析師佔了較高的比重。報價介於低端和中等之間，大部分業務分佈於北美，涉及包括金融服務、媒體、製造和天然能源、零售、交通和公共事業在內的多個垂直行業。

Dell SecureWorks

Dell SecureWorks提供的威脅情報服務多種多樣，包括全球通用情報源和定製化情報源，以知足高端客戶的需求。該廠商因其專業能力，享有良好的聲譽，在全部競爭者中，被說起次數位居第二，報價有高有低，與客戶需求掛鉤，一些潛在客戶較爲擔憂其高報價。

Digital Shadows

Digital Shadows沒有明確提供商品化的實時監控和通知內容，這在威脅情報市場中較爲少見，不過該廠商能夠實時生成內容，並以STIX兼容的格式導出。該廠商認爲自身的優點在於，其追蹤的威脅源起方涵蓋面很廣。報價介於低端到中等之間，可是分析佔了其服務的大部分比重，報價偏低，有些出人意料。Digital Shadows大部分客戶位於北美和歐洲市場，主要垂直行業爲金融服務，還有其餘一些零散的客戶，處於媒體、製造和天然能源、公共事業等行業。

FireEye

FireEye的服務基於其2014年收購的Mandiant。FireEye起家於調查取證服務和事件響應服務。FireEye在2013年早些時候，發表了關於APT攻擊的研究報告，備受關注，也獲得了許多好評，同時引發了全球對該問題的關注。獨立的威脅情報服務對於FireEye而言仍是比較新的業務，與某些競爭對手相比可能還略顯不足。報價處於中等水平，主要垂直行業包括金融服務、製造和天然資源。

Fox-IT

Fox-IT推出了各類不一樣的內容，以支持戰術性決策和策略性決策；Fox-IT的服務還覆蓋了基礎設施威脅以及必定程度的金融犯罪和品牌保護。這點值得關注，由於Fox-IT的規模比較小；可是，Fox-IT的人員構成中，分析師的比重略低。Fox-IT認爲其總部位於荷蘭，能夠從俄羅斯等歐洲國家得到高質量的情報。該廠商的傳統市場爲歐洲，尤爲是斯堪的納維亞和英國。主要垂直行業包括金融服務、零售和媒體。報價爲中等水平。、

Group-IB

東歐通常被認爲是威脅和詐騙活動的重要源頭。Group-IB，總部位於莫斯科，能夠對東歐地區的活動深刻研究，具備必定市場優點。Group-IB主要關注網絡詐騙和品牌問題。該廠商已有堅實的客戶基礎，集中在歐洲，主要垂直行業爲金融服務，報價爲中等水平。

IBM

IBM的威脅情報服務脫胎於其收購能力和組織能力，包括2006年收購Internet Security Systems和X-Force，2007年收購Watchfire，2013年收購Trusteer，加上本身的安所有門和研發部門。IBM的威脅情報服務基本與其餘服務捆綁在一塊兒，只有X-Force威脅分析服務和高級網絡威脅情報服務是例外。IBM的內容分析SDK也能夠接入威脅情報源。X-Force威脅分析服務僅僅象徵性收費。內容分析SDK和高級網絡威脅情報服務的報價各有不一樣。

IID

IID起家於反釣魚服務和DNS服務，最後演化爲威脅情報服務。IID的優點在於其實時監控和通知服務，勉強可以歸類於威脅情報的獲取和分析。IID的主要垂直行業爲金融服務，主要市場位於北美地區。報價基本處於中等水平。

iSIGHT Partners

iSIGHT Partners一直以來都專一於威脅情報服務，後來又加入了一些事件響應服務。該廠商的核心能力廣受承認，人員構成中分析師佔了很大比重。iSIGHT Partners在全部主要地區都有情報收集專員，包括東歐西歐、亞洲、中東和南美，這在廠商當中並很少見。iSIGHT Partners很擅長樹立品牌意識，在全部競爭者彙總，被幾回的次數最多，網站被引用的次數也最多。主要垂直行業爲金融服務和政府。iSIGHT Partners採用了新穎的報價模式，報價融合了客戶的市場價值及其餘因素。所以，iSIGHT Partners得報價也有高有低，價位大致是中等到高。

Lookingglass

Lookingglass的主要產品爲一個平臺，該平臺整合並分析從多個源得到的情報，不過該平臺也能生成原創內容。參考網站也有說起Lookingglass可以高度響應用戶需求，可是Lookingglass人員不足有時也會引發關注。該廠商的主要業務分佈於北美，專一於金融服務和政府，報價高低不等，大致爲中等水平。

Malcovery

Malcovery在市場上相對較新的供應商，在檢測基於郵件的威脅方面有創新突破，特別是針對釣魚活動的檢測，加上Malcovery價格適中，贏得了一片讚譽。Malcovery的全部業務都在北美，主要垂直行業爲金融服務，也涉及其餘一些媒體和零售等行業。報價爲低到中等水平，大多數交易趨於低端。

Norse

Norse提供相對標準的MRTI類型的內容，好比IP地址和惡意程序URL，定位數據，由Norse自家的蜜罐網絡生成（而不是客戶的網絡）。Norse的蜜罐假裝爲各類不一樣的設備，從標準的服務器到專有的醫療服務系統。Norse的創新點頗有意思，基於貼近攻擊源的設備進行準預測。參考客戶反饋稱，Norse的內容很優質，特別是基於Tor的網絡。由於缺少資源產生的問題有時會削弱Norse的客戶響應能力，市場中的其餘較新、較小規模的供應商也有一樣的問題。Norse的大部分業務分佈於北美，客戶羣所處行業各不相同，涵蓋銀行和證券、政府、技術、通訊和媒體。報價處於低到中等水平，大部分交易趨於中等價格。

One World Labs

One World Labs認爲其自動化收集、分析內容的能力較爲獨特——特別是從Tor或其餘暗網流量獲取的內容。價格從低到中等各異，大部分集中於中等水平。主要業務集中於北美，垂直行業涉及範圍較廣，最關於金融服務與醫療行業。

RSA——EMC公司信息安全事業部

RSA的服務於市面上其餘供應商的服務有些不一樣。RSA的威脅情報聚焦基礎設施（經過RSA Live）和欺詐（經過FraudAction），其中FraudAction也能夠做爲獨立產品使用。FraudAction的性能比較完善，現已用於多個垂直行業，而不只侷限於傳統的金融服務。其中一家參考網站特別說起，RSA的客戶滿意度高部分緣由在於RSA理解了特定的用戶需求。RSA的報價信息不明。

SenseCy

SenseCy是威脅情報市場中相對較新的玩家。SenseCy主要聚焦於威脅情報的獲取和分析，同時也提供實時監控和通知內容，主要關注的領域包括伊斯蘭背景的激進黑客活動，以及中國和俄羅斯的黑客。SenseCy的總部位於以色列內坦亞，所以該廠商的主要業務分佈於中東地區，主要服務於金融服務行業，價格高低不等，取決於客戶所選的服務，已成交的業務多爲低價服務。

Symantec

在威脅情報市場，賽門鐵克最知名的就是其長盛不衰的DeepSight服務，屬於實時監控和通知的範疇。賽門鐵克較高端的服務提供更深刻的分析，基於這一點，賽門鐵克在威脅情報的獲取和分析方面並不突出。賽門鐵克提供分集的服務，以知足低預算和高預算的需求，大部分客戶購買的爲低價服務，而高價服務的交易額佔其收入的很大部分。像賽門鐵克這樣大型的企業，業務遍及全球多個地區，但略微偏向北美，涉及衆多垂直行業，較爲倚重金融服務。

Team Cymru

Team Cymru推出了一系列付費服務和非營利服務，後者是經過Team Cymru Research NFP提供的。除了官網和推廣手冊上的少許信息，Team Cymru並未過多地介紹自家的能力和服務。所以，很難評估Team Cymru的服務質量和付費服務價格。

ThreatStream

ThreatStream是另外一家較新、規模較小的企業。ThreatStream的核心高層人員擁有強大的SIEM背景（來自ArcSight），這一點也體如今其產品中。該廠商的自動化能力獲得了用戶的承認，而對SIEM的整合也是其重要優點之一。ThreatStream的主要業務位於北美，主要關注政府和金融服務。價格爲低到中等。

Verisign

Verisign經過iDefense服務，較早進入市場，品牌知名度高。Verisign不斷優化，吸引客戶，好比全面的服務、強大的情報處理能力和大量遍及各地的分析師（並擁有多語言背景）；可是，其餘競爭者也有了這些特點。所以，iDefense如今面臨着激烈的競爭。Verisign的主要業務位於北美，主要垂直行業爲金融服務和媒體，價格趨於中等水平。

Webroot

Webroot最先是惡意程序解決方案供應商，但在2010年有了業務拓展，推出BrightCloud威脅情報服務。Webroot大部分威脅情報業務經過OEM渠道交付，主要客戶爲其餘供應商。所以，咱們沒法得到關於Webroot垂直行業的相關信息。Webroot還推出了針對企業的相應服務。Webroot的大部分業務位於北美，歐洲也有部分業務。價格信息不明，不過交易規模有大有小（OEM交易趨向於大規模）。