公司与产品动态 - Criminal IP 威胁情报平台已与 IBM QRadar SIEM 和 QRadar SOAR 完成集成 [2] - 该集成将基于 IP 的外部威胁情报直接引入 IBM QRadar 的检测、调查和响应工作流程 [2] - 集成使安全团队能更快识别恶意活动，并在安全运营中心 (SOC) 运营中更有效地排定响应行动优先级 [2] 市场定位与客户基础 - IBM QRadar 被企业和公共部门组织广泛采用，作为安全监控、自动化和事件响应的核心平台 [3] - Criminal IP 是 AI SPERA 开发的旗舰网络威胁情报平台，已在全球超过 150 个国家使用 [15] 技术集成与功能优势：SIEM 集成 - 通过集成，安全团队可分析防火墙流量日志，并自动评估通信 IP 地址的相关风险 [4] - 转发至 IBM QRadar SIEM 的流量数据通过 Criminal IP API 分析，结果直接反映在 SIEM 界面中 [4] - 观察到的 IP 地址会从威胁情报视角自动分类为高、中、低风险等级 [5] - 集成支持在 QRadar SIEM 内直接调查可疑 IP，分析师可从日志活动中右键点击 IP 打开详细的 Criminal IP 报告 [8] - 报告提供额外背景信息，包括威胁指标、历史行为和外部暴露信号，使分析师无需切换工具即可验证风险和意图 [9] 技术集成与功能优势：SOAR 集成 - Criminal IP 也与 IBM QRadar SOAR 集成，以支持事件响应期间的自动化威胁情报富化 [10] - 使用预构建的剧本，可将 Criminal IP 情报应用于 IP 地址和 URL 工件，富化结果直接作为工件匹配或事件笔记返回到 SOAR 案例中 [10] - 集成包含两个剧本：Criminal IP: IP Threat Service（用威胁背景富化 IP 地址工件）和 Criminal IP: URL Threat Service（执行轻量或完整 URL 扫描并返回结果）[14] 产品价值主张 - 该集成将 QRadar 的关联、调查和响应能力与源自真实网络暴露的、背景丰富的外部威胁情报相结合 [11] - 这种方法提高了检测准确性，缩短了调查周期，并增强了整个 SOC 运营的响应优先级排序 [11] - 随着警报量持续增长，Criminal IP 通过将外部威胁背景直接引入 SIEM 和 SOAR 工作流，帮助 QRadar 用户做出更快、更明智的决策，且不增加运营复杂性 [12] - 该集成凸显了实时、基于暴露的情报在现代 SOC 环境中的重要性，并强调了 Criminal IP 通过实用的、情报驱动的集成来提高检测置信度和运营效率的专注点 [13] 核心技术能力 - Criminal IP 由人工智能和开源情报 (OSINT) 驱动，提供威胁评分、信誉数据以及对广泛恶意指标的实时检测 [16] - 检测范围涵盖 IP、域名和 URL 上的 C2 服务器、IOC 以及 VPN、代理和匿名 VPN 等掩蔽服务 [16] - 其 API 优先架构确保能无缝集成到安全工作流中，以提升可见性、自动化和响应能力 [16]