PJzhang:国内常用威胁情报搜索引擎说明

猫宁！！！

参考链接：

https://www.freebuf.com/column/136763.html

https://www.freebuf.com/sectool/163946.html

如果遇到一个ip，查看对方是不是恶意的，很多人通常会想到微步在线，但在国内除了微步在线，还有几家别的平台提供个人免费服务，而且威胁情报不光是查下ip或者域名之类的，安全漏洞情报，安全讯息情报，都是威胁情报的重要组成部分。

微步在线

https://x.threatbook.cn/

可以查询ip、域名、文件hash、邮箱、不超过20M文件，可疑URL 6项，需要注册才可以查询更多的内容，否则只能体验个位数次。

例如搜索ip 190.214.217.158，会显示该ip的情报信息，比较重要的是情报聚合的部分，里面有微步在线情报、开源情报、相关事件、存在通讯的样本、地址上存在的url。

此外还有ip反查，开放端口，可视化，数字签名，用户标签等，但是很多内容是部分打码的，看不到。

如果很关注某一个ip或者域名，可以使用微步在线的监控功能，实时跟踪变化。

如果查询www.evilhost.com这个域名，会有域名解析、子域名、whois这些新添分类

现在上传一个名为ceshi.py的文件，它会提供详细的分析，而且第一次上传的话，可以选择运行的操作系统windows或者linux，提供25家杀毒引擎进行扫描。

用一个钓鱼站点来测试检测url的效果。平时也可以多多关注微步在线情报社区中的威胁情报讯息，可以对日常工作有启发意义。

微步在线的威胁检测平台TDP就是基于已知的自有或开源威胁情报来探知公司内部是否存在失陷主机，这也算是威胁情报市场化的一个很好的案例。

产品如下：https://threatbook.cn/product/tdp

virustotal

https://www.virustotal.com/gui/home/upload

这个站点目前已经隶属于谷歌旗下，主要功能和微步在线无异，但是可以查看到更多的数据，开放性上做的不错。

对于上传的文件大小没有限制，virtualbox的exe文件166M也可以上传检测，提供70家的杀毒引擎进行测试，当然这个是官网下载的，想必杀毒厂商已经加白名单了。

搜索域名www.amazon.com，查询信息，可以搜索出很多的amazon.com的子域名，dns历史记录，url历史记录，尤其是子域名，非常不错，可以全量查看。

天际友盟安全智能服务平台

https://redqueen.tj-un.com/IntelHome.html

利用自己的蜜罐系统和采集的开源情报，每天都进行更新，内容都是公开显示，可以被方便的爬取作为情报资产进行存储。

天际友盟在情报分类工作上付出了巨大的努力。还组织有烽火台安全威胁情报联盟，http://www.x-cti.org/

奇安信威胁情报中心

https://ti.qianxin.com/

原来是360威胁情报中心，如果是企业用户可以查看全量东西，如果是个人版，查看很有限，搜一个与色情相关的ip，除了威胁情报一栏可以看，其余的都看不了，查的这个ip是一个色情相关ip。此外上传文件检测威胁大小不超过20M才行。

 

启明星辰venuseye威胁情报中心

https://www.venuseye.com.cn

功能不多，可以查询ip、域名、文件hash、邮箱4项。可以看到IOC（入侵指标）信息，关联域名、关联url、关联样本。

绿盟威胁情报中心

https://nti.nsfocus.com/

这个情报中心可以查阅的东西很多，包括漏洞相关、安全事件等等，可以看做是一个综合性的威胁情报搜索引擎，查询有关网络安全威胁的一切，非常值得使用。申请注册需要对方审核。

IBM云威胁情报中心

https://exchange.xforce.ibmcloud.com/

可以搜索应用程序的名称来查询其安全情报，总体用起来不是很好。

知道创宇的zoomeye和seebug平台

https://www.zoomeye.org/

https://www.seebug.org/

zoomeye是一个网络空间搜索引擎，查询各种设备、站点、ip、服务的搜索站点，seebug是一个漏洞情报平台，更新最新漏洞详情，并说明漏洞是不是cve、有没有poc，有没有exp。这两个都是知道创宇的产品，个人可以享受免费的服务，两者可以结合使用。

白帽汇的fofa和nosec平台

https://fofa.so/

https://nosec.org/home/index

fofa也是一个网络空间搜索引擎，和知道创宇的zoomeye功能基本类似，nosec是一个威胁情报讯息聚合站点，翻译介绍了大量海外的信息，以供预警参考之用。

360网络安全研究室

http://netlab.360.com/

这里有大量开放自有调用的DGA恶意域名信息，可以用于开源情报的收集之用，而且还可以查询与ddos相关的恶意ip。

alienvault开源情报平台

https://otx.alienvault.com/

注册之后，里面聚合了大量开源情报平台，并且有它们的受关注程度，省掉了很多去寻找这些开源站点的时间。

这里介绍的主要是中国的一些威胁情报平台，当然也有少量国外的平台，在国外从事威胁情报的公司非常的多，而且国外威胁情报的发展较国内也更早更加的成熟一些。

有如下公司可以参考：（内容来自freebuf：威胁情报简介及市场浅析）

BAE Systems Applied Intelligence

CESG认证的英国企业，协助响应国家级网络中出现的安全事件。此协助工作和供应商自己的MSSP业务，为其情报来源的一个组成部分。BAE Systems Applied Intelligence拥有一套强大的流程，奠定了他们能力的基础。此公司目前主要专注于英国、美国和澳大利亚市场，但在欧洲、中东和非洲与亚太地区的28个国家也有业务。BAE Systems Applied Intelligence与政府的联系很密切。就价格而言，该公司处于中等位置。

Booz Allen

Booz Allen主要关注定制的、预测性的威胁情报。与此定位相一致，Booz Allen的人员配置中大部分为分析师。Booz Allen似乎也拥有一套强大的流程，为其能力打下基础。该公司的大部分业务源起北美，在欧洲、中东和非洲业务较少。Booz Allen主要的垂直行业为金融服务业，在制造与自然资源及其他行业也有少量业务。Booz Allen的服务报价较高。

BrandProtect

BrandProtect的主要关注点是品牌监测，此外还包括反钓鱼，较少关注针对用户基础设施的直接攻击的情报。所以，BrandProtect是威胁情报市场中的新手，也较为边缘化。就品牌监测而言，BrandProtect相当有竞争力。该厂商的方法非常简单：监控多个渠道中的关键字，最主要的渠道是社交媒体。该厂商有一套定价体系，服务对象可以是小企业，也可以是大企业。BrandProtect主要业务分布在北美，只要垂直行业为金融服务业。

Check Point Software Technologies

Check Point的服务只限于针对现有活动的情报，而非预测性情报。该厂商提供的信息源包括恶意程序签名，文件指标，地址指标，Check Point设备可以使用这些数据实时决定政策（Check Point的情报只有Check Point的设备能用）。报价较低，是整个市场中最低的报价之一，这点并不意外，因为他们的服务比较基础。Check Point通过其他产品线，在全球范围内运营。

Codenomicon

Codenomicon的产品与其他多数厂商都不一样，Codenomicon推出的是一个软件平台（AbuseSA）而不是传统的信息交付服务。该厂商不会自己出产情报，因此在威胁情报市场中也较为边缘化；但是，Codenomicon的平台，是值得关注的，该平台汇集了从其他源收集的信息。Codenomicon的主要市场是欧洲、中东和非洲地区的政府部门，特别是国家计算机安全事件响应团队（各国的CSIRT）。

CrowdStrike

CrowdStrike是一个较新的企业，但因其专业性而拥有良好的声誉。情报内容涵盖各个决策层面，从短期（比如，几分钟）的行动决策，到长期（比如，五年）的策略决定，包含人工的也包含自动化的决策。定价介于中等到高端，与其服务内容较为相衬，潜在客户也会关注这点。CrowdStrike的主要业务位于北美，关注领域涉及多个垂直行业，包括媒体、政府和其他。

CSIS Security Group

虽然和加拿大安全情报服务的缩写相同，这个丹麦企业是一家独立的实体。该厂商主要关注金融电子犯罪的预防和响应，特别是在欧洲市场。CSIS Security Group大部分业务分布在欧洲、中东及非洲地区，主要针对金融服务行业。CSIS为提供价格数据。

Cyveillance

Cyveillance从1997年开始就专注于威胁情报服务，2009年被QinetiQ收购。Cyveillance的名气可以说是基于他们监控品牌问题和金融犯罪的能力，但是Cyveillance和客户都提到其情报内容也被用于保护实际资产和事件。该厂商的人员构成中，分析师占了较高的比重。报价介于低端和中等之间，大部分业务分布于北美，涉及包括金融服务、媒体、制造和自然能源、零售、交通和公共事业在内的多个垂直行业。

Dell SecureWorks

Dell SecureWorks提供的威胁情报服务多种多样，包括全球通用情报源和定制化情报源，以满足高端客户的需求。该厂商因其专业能力，享有良好的声誉，在所有竞争者中，被提及次数位居第二，报价有高有低，与客户需求挂钩，一些潜在客户较为担心其高报价。

Digital Shadows

Digital Shadows没有明确提供商品化的实时监控和通知内容，这在威胁情报市场中较为少见，不过该厂商可以实时生成内容，并以STIX兼容的格式导出。该厂商认为自身的优势在于，其追踪的威胁源起方涵盖面很广。报价介于低端到中等之间，但是分析占了其服务的大部分比重，报价偏低，有些出人意料。Digital Shadows大部分客户位于北美和欧洲市场，主要垂直行业为金融服务，还有其他一些零散的客户，处于媒体、制造和自然能源、公共事业等行业。

FireEye

FireEye的服务基于其2014年收购的Mandiant。FireEye起家于调查取证服务和事件响应服务。FireEye在2013年早些时候，发表了关于APT攻击的研究报告，备受关注，也得到了许多好评，同时引起了全球对该问题的关注。独立的威胁情报服务对于FireEye而言还是比较新的业务，与某些竞争对手相比可能还略显不足。报价处于中等水平，主要垂直行业包括金融服务、制造和自然资源。

Fox-IT

Fox-IT推出了各种不同的内容，以支持战术性决策和策略性决策；Fox-IT的服务还覆盖了基础设施威胁以及一定程度的金融犯罪和品牌保护。这点值得关注，因为Fox-IT的规模比较小；但是，Fox-IT的人员构成中，分析师的比重略低。Fox-IT认为其总部位于荷兰，可以从俄罗斯等欧洲国家获得高质量的情报。该厂商的传统市场为欧洲，尤其是斯堪的纳维亚和英国。主要垂直行业包括金融服务、零售和媒体。报价为中等水平。、

Group-IB

东欧一般被认为是威胁和诈骗活动的重要源头。Group-IB，总部位于莫斯科，可以对东欧地区的活动深入研究，具有一定市场优势。Group-IB主要关注网络诈骗和品牌问题。该厂商已有坚实的客户基础，集中在欧洲，主要垂直行业为金融服务，报价为中等水平。

IBM

IBM的威胁情报服务脱胎于其收购能力和组织能力，包括2006年收购Internet Security Systems和X-Force，2007年收购Watchfire，2013年收购Trusteer，加上自己的安全部门和研发部门。IBM的威胁情报服务基本与其他服务捆绑在一起，只有X-Force威胁分析服务和高级网络威胁情报服务是例外。IBM的内容分析SDK也可以接入威胁情报源。X-Force威胁分析服务仅仅象征性收费。内容分析SDK和高级网络威胁情报服务的报价各有不同。

IID

IID起家于反钓鱼服务和DNS服务，最后演化为威胁情报服务。IID的优势在于其实时监控和通知服务，勉强能够归类于威胁情报的获取和分析。IID的主要垂直行业为金融服务，主要市场位于北美地区。报价基本处于中等水平。

iSIGHT Partners

iSIGHT Partners一直以来都专注于威胁情报服务，后来又加入了一些事件响应服务。该厂商的核心能力广受认可，人员构成中分析师占了很大比重。iSIGHT Partners在所有主要地区都有情报收集专员，包括东欧西欧、亚洲、中东和南美，这在厂商当中并不多见。iSIGHT Partners很擅长树立品牌意识，在所有竞争者汇总，被几次的次数最多，网站被引用的次数也最多。主要垂直行业为金融服务和政府。iSIGHT Partners采用了新颖的报价模式，报价融合了客户的市场价值及其他因素。因此，iSIGHT Partners得报价也有高有低，价位大体是中等到高。

Lookingglass

Lookingglass的主要产品为一个平台，该平台整合并分析从多个源获得的情报，不过该平台也能生成原创内容。参考网站也有提及Lookingglass能够高度响应用户需求，但是Lookingglass人员不足有时也会引起关注。该厂商的主要业务分布于北美，专注于金融服务和政府，报价高低不等，大体为中等水平。

Malcovery

Malcovery在市场上相对较新的供应商，在检测基于邮件的威胁方面有创新突破，特别是针对钓鱼活动的检测，加上Malcovery价格适中，赢得了一片赞誉。Malcovery的所有业务都在北美，主要垂直行业为金融服务，也涉及其他一些媒体和零售等行业。报价为低到中等水平，大多数交易趋于低端。

Norse

Norse提供相对标准的MRTI类型的内容，比如IP地址和恶意程序URL，定位数据，由Norse自家的蜜罐网络生成（而不是客户的网络）。Norse的蜜罐伪装为各种不同的设备，从标准的服务器到专有的医疗服务系统。Norse的创新点很有意思，基于贴近攻击源的设备进行准预测。参考客户反馈称，Norse的内容很优质，特别是基于Tor的网络。因为缺乏资源产生的问题有时会削弱Norse的客户响应能力，市场中的其他较新、较小规模的供应商也有同样的问题。Norse的大部分业务分布于北美，客户群所处行业各不相同，涵盖银行和证券、政府、技术、通信和媒体。报价处于低到中等水平，大部分交易趋于中等价格。

One World Labs

One World Labs认为其自动化收集、分析内容的能力较为独特——特别是从Tor或其他暗网流量获取的内容。价格从低到中等各异，大部分集中于中等水平。主要业务集中于北美，垂直行业涉及范围较广，最关于金融服务与医疗行业。

RSA——EMC公司信息安全事业部

RSA的服务于市面上其他供应商的服务有些不同。RSA的威胁情报聚焦基础设施（通过RSA Live）和欺诈（通过FraudAction），其中FraudAction也可以作为独立产品使用。FraudAction的性能比较完善，现已用于多个垂直行业，而不仅局限于传统的金融服务。其中一家参考网站特别提及，RSA的客户满意度高部分原因在于RSA理解了特定的用户需求。RSA的报价信息不明。

SenseCy

SenseCy是威胁情报市场中相对较新的玩家。SenseCy主要聚焦于威胁情报的获取和分析，同时也提供实时监控和通知内容，主要关注的领域包括伊斯兰背景的激进黑客活动，以及中国和俄罗斯的黑客。SenseCy的总部位于以色列内坦亚，因此该厂商的主要业务分布于中东地区，主要服务于金融服务行业，价格高低不等，取决于客户所选的服务，已成交的业务多为低价服务。

Symantec

在威胁情报市场，赛门铁克最知名的就是其长盛不衰的DeepSight服务，属于实时监控和通知的范畴。赛门铁克较高端的服务提供更深入的分析，基于这一点，赛门铁克在威胁情报的获取和分析方面并不突出。赛门铁克提供分集的服务，以满足低预算和高预算的需求，大部分客户购买的为低价服务，而高价服务的交易额占其收入的很大部分。像赛门铁克这样大型的企业，业务遍布全球多个地区，但略微偏向北美，涉及众多垂直行业，较为倚重金融服务。

Team Cymru

Team Cymru推出了一系列付费服务和非营利服务，后者是通过Team Cymru Research NFP提供的。除了官网和推广手册上的少量信息，Team Cymru并未过多地介绍自家的能力和服务。因此，很难评估Team Cymru的服务质量和付费服务价格。

ThreatStream

ThreatStream是另一家较新、规模较小的企业。ThreatStream的核心高层人员拥有强大的SIEM背景（来自ArcSight），这一点也体现在其产品中。该厂商的自动化能力得到了用户的认可，而对SIEM的整合也是其重要优势之一。ThreatStream的主要业务位于北美，主要关注政府和金融服务。价格为低到中等。

Verisign

Verisign通过iDefense服务，较早进入市场，品牌知名度高。Verisign不断优化，吸引客户，比如全面的服务、强大的情报处理能力和大量遍布各地的分析师（并拥有多语言背景）；但是，其他竞争者也有了这些特色。因此，iDefense现在面临着激烈的竞争。Verisign的主要业务位于北美，主要垂直行业为金融服务和媒体，价格趋于中等水平。

Webroot

Webroot最早是恶意程序解决方案供应商，但在2010年有了业务拓展，推出BrightCloud威胁情报服务。Webroot大部分威胁情报业务通过OEM渠道交付，主要客户为其他供应商。因此，我们无法获得关于Webroot垂直行业的相关信息。Webroot还推出了针对企业的相应服务。Webroot的大部分业务位于北美，欧洲也有部分业务。价格信息不明，不过交易规模有大有小（OEM交易趋向于大规模）。