威脅情報網關（Threat Intelligence Gateway， TIG）作為網絡安全的新生代產品，與我們熟知的其他安全解決方案的怎樣做到優勢互補？

　　威脅情報網關是什么？

　　威脅情報網關Threat Intelligence Gateway（TIG），是一種集威脅情報檢測+響應處置一體化的產品形態，通過使用大量威脅指示器對網絡流量進行檢測，并由該設備對檢測到的威脅進行線速阻斷處理；TIG參與組織的安全事件應急響應流程，且針對實例（use case）利用能自動進行處置。

　　TIG + TIP，最佳拍檔

　　威脅情報平臺支持多源情報落地聚合、資產發現、漏洞掃描、流量分析、威脅檢測等多種本地化情報應用場。支持情報在用戶本地的明文落地和基于情報的安全管理，本地化威脅情報應用。構建基于情報的內部共享機制，支持安全設備聯動，通過API接口獲取情報。

　　威脅情報平臺生產及共享威脅情報，這些已經驗證的威脅情報可以直接作用于TIG威脅情報網關，直接阻斷或者過濾。同專業的威脅情報平臺進行協同工作，威脅情報網關成為威脅情報的消費者和使用者。

　　TIG + SIEM，偵察兵與參謀部

　　SIEM（ Security Information and Event Management） 安全信息和事件處理 ，通過進行日志及流的關聯分析，發現安全事件的潛在聯系。SIEM可以廣泛使用FW、NGFW、IDS、IPS等安全設備的日志，TIG和以上設備一樣，可以作為SIEM的輸入。

　　同時，SIEM平臺在集成威脅情報能力之后，可以快速驗證和生產威脅情報。這些已經驗證的威脅情報可以利用TIG威脅情報網關進行威脅阻斷和實時響應。

　　TIG + SOAR，尖兵與指揮部

　　SOAR 解決方案支持將安全運營相關的團隊、工具和事件處理流程通過安全編排和自動化技術集成，最終完成安全事件的響應及處置。

　　TIG是執行單元之一。經過驗證的情報通過SOAR的編排與調度， 可分發至TIG進行威脅阻斷和實時響應。

　　TIG + Situational Awareness，偵察兵與“水晶球”

　　態勢感知解決方案體現組織的綜合安全運營能力，提供風險實時感知、安全合規評估和脆弱性威脅管理。采用流量分析技術對全網流量實現威脅可視化，利用大數據技術進行關聯分析，利用機器學習能力進行行為分析建模，并通過日志和網絡流量匯總結合威脅情報對。掌握網絡安全整體運行狀況，并能夠精準預測網絡安全形勢的發展趨勢。

　　TIG威脅情報網關支持海量威脅情報直接消費，來自態勢感知系統產生和確認的威脅情報可以直接用于威脅情報網關進行自動化阻斷網絡攻擊。針對組織當前面臨的威脅態勢，動態進行自動化阻斷和防護。快速響應威脅態勢發展，在脆弱性威脅發生時，阻斷網絡攻擊降低網絡安全風險。

　　TIG + SOC，前哨部隊與統帥部

　　SOC（安全運營中心）作為組織的安全大腦，體現了組織的綜合安全運營能力，從安全運維到安全運營。安全管理中心提供組織全方位的安全策略及運營情況管理，實現安全運營閉環管理。

　　安全運營過程中，威脅情報能夠結合威脅檢測，支持響應、溯源、部署調整（修復，優化）等系列過程。威脅情報網關能夠執行預案和腳本，支持人工干預，和自動化部署，可以作為企業網絡安全的縱深防御體系中重要的一環。

　　TIG + XDR，跨兵種協同模范

　　擴展后的檢測和響應能力，極大擴展組織的威脅檢測能力，結合威脅情報及檢測手段，可以更快的發現那些攻擊和安全事件。XDR包含專業的調查工具，提供網絡安全可視化，讓組織更加清楚發現安全事件的全貌。XDR工具中內置和可操作的支持響應和處置能力，一體化的檢測和響應解決方案，提升響應能力，帶來更可靠的安全體系。

　　MDR ，XDR ，EDR 將檢測和響應解決方案更加完善，還可充分利用威脅情報的能力。威脅情報網關將在威脅情報消費和安全事件響應中，發揮巨大作用。

　　TIG 可以直接利用XDR安全分析的結果，利用威脅情報平臺的輸出能力，對接這些安全威脅的響應過程，直接采用這些海量威脅情報，阻斷網絡攻擊行為 。

　　結語

　　網絡安全彈性能力建設，任重道遠。我們永遠不知道下一個面臨的對手是誰，網絡安全架構的自適應，需要各安全設備在統一指揮下的協同，而TIG是這些設備之一，形成基于差異能力的協同。