情报获取接口

针对企业客户在安全情报应用中遇到的问题，天际友盟创新提出云端枢纽结合本地传感器的整体解决方案，借助RedQueen平台强大的情报处置及分发能力，为客户提供高度定制的应用场景构建服务。 RedQueen安全智能服务平台的主要功能： · 安全情报浏览：企业相关情报展示，提供威胁详细指示器。 · 相关情报订阅：创建情报集合，通过API方式推送至企业本地传感器。 · 资产安全监管：登记企业资产，精确情报匹配范围。 · 威胁信息溯源：内置天际友盟Alice威胁情报溯源平台，一键查询威胁信息。

Red Queen”安全智能服务平台（SISP）作为天际友盟为客户提供各项基于情报应用的安全智能服务的核心枢纽，不仅是国内首个的云端一体化安全智能综合服务平台，也是国内最大的安全情报聚合、分析与交换平台。围绕客户的定制化需求，“Red Queen”平台在“Lisa”多源异构大数据平台的支持下，可快速进行智能化的情报扩展挖掘和应用场景构建，为客户提供高度定制化的情报应用服务集合，以满足各类用户侧的本地化情报使用场景的实际服务需求。

“Red Queen”安全智能服务平台（SISP）的整体技术架构如下图所示。

多源情报订阅与情报市场

（1）多源情报供给机制

天际友盟已通过多种形式与国内外多家组织和机构开展安全情报共享与交换合作，以丰富情报来源的总量和质量。目前主要的外部情报源包括：

“全球安全情报合作伙伴计划”：已与IBM X-Force、Rapid7等达成情报战略合作，可按需协助客户获得IBM全球12个SOC中心和Rapid7威胁情报中心所提供的海量安全情报支持，包括但不限于实时的恶意IP、恶意URL、恶意域名、垃圾/钓鱼邮件、恶意软件、安全漏洞、安全事件等。

“烽火台”安全威胁情报联盟：借助联盟成员企业的内部情报共享与交换机制，获得神州网云、思睿嘉得、远江盛邦、派网软件、世平信息、山海诚信、云盾科技、天特信、守望者等国内知名安全厂商的独有安全情报数据，包括但不限于IP地理定位、Webshell、PDNS、被黑网站、僵尸网络、C&C节点、tor节点、扫描器节点等。

政府机构情报合作：通过与国家互联网应急中心（CNCERT）及其他10多个国家的相关机构开展情报合作，获得可公开的安全情报支持，如漏洞、威胁、事件、舆情、资讯等。

国内厂商情报交换：通过与启明星辰、绿盟科技、天融信、华为等国内安全厂商达成情报交换合作意向，获取其可用于交换的安全情报支持，如资产、漏洞、威胁、事件、资讯等。

（2）“情报市场”与专属“情报集合”

天际友盟在国内首创“情报市场”理念，可让客户根据需求自行选择不同的“情报卡片”（每张“情报卡片”代表着不同情报源的情报数据集合，并在卡片内详情中有相关情报内容的概述），形成客户专属的“情报集合”，做到按需订阅、按需议价、智能聚合与定向分发。

目前，“情报卡片”可提供的信息类型有：

指示器集合：是与安全情报相关的IP、Domain、URL、Email、Hash、IP段等数据，并不能完全用STIX标准情报格式来描述，可被认为是特殊的情报类别，或可归入威胁情报范畴。

安全情报：指可以用STIX标准情报格式来描述的资产、漏洞、事件和威胁情报。

安全资讯：指不可用SITX标准情报格式描述的文字、图片类安全新闻资讯信息）。

（3）情报订阅获取机制

TLP协议（Traffic Light Protocol，又称交通灯协议）是US-CERT对各类安全情报的可共享范围的一组规范指南。

“Red Queen”安全智能服务平台（SISP）借鉴了TLP协议，对每一条情报均进行了共享范围标注。其中：

红色：代表该情报定向发送给用户，且用户不能共享该情报。

黄色：代表该情报部分用户可见，且用户只能在组织内共享。

绿色：代表该情报部分用户可见，可在组织外部共享，但有范围限制。

在此基础上，“Red Queen”平台根据客户的平台账户属性、实际订阅需求、情报来源和情报内容等的不同，建立了一整套情报公开机制，以明确客户可订阅的情报范围和内容，避免用户隐私外泄。

客服邮箱service@sec-un.com 客服电话4000810700