X-Force 是一个专注于威胁处理的团队，由拥有数十年经验的黑客、响应者、研究人员和分析师组成。我们的产品组合包括各种进攻型和防御型产品和服务，采用 360 度威胁视图开展运营和管理。我们的团队深谙威胁参与者的思维方式、策略和攻击方式，因此知道如何预防、检测、应对事件并迅速恢复，以便您能够专注于优先级更高的业务活动。

• IBM® X-Force 专家服务由超过 1,000 名世界级黑客、响应者、研究人员和分析师提供支持，他们都是著名的行业思想领袖和安全影响者。
• 我们的威胁情报收集自 IBM 事件响应的客户参与情况，结合全源威胁参与者分析，并融入所有 IBM Security® 产品和服务中，以帮助客户在攻击面前保持领先。
• X-Force 威胁猎手使用 IBM 的专有 TTP 威胁搜寻库和 MITRE ATT&CK 框架来提供主动威胁检测

威胁情报是通过外部来源收集的威胁信息汇编，用于预防和减轻网络攻击。威胁数据经过组织、细化和增强，使其具有可执行性，并用于网络安全团队了解威胁及其背后的参与者。
X-Force® Threat Intelligence 团队通过检测和响应内容提供应用于安全运营的全球威胁情报。我们帮助简化工作流程、编排和应用程序，从而推动丰富、协作、可视化和高级分析，同时提供：

• 直接访问通过参与情况收集的最新威胁情报
• 用于检测和响应的高质量、经过优先排序的可执行情报

借助威胁情报，网络安全团队能够主动防御并快速响应攻击其组织的威胁，帮助他们识别和了解对手、制定响应计划并战略性地分配资源。网络安全团队可以使用威胁情报来实时阻止攻击，并降低攻击者影响其品牌和声誉的风险。

威胁情报由具有各种背景的行业专家专门构建，包括前政府情报分析师、SOC 分析师和私营企业顾问。该团队的成立原则包括严格的分析严谨性、正确的分析和可重复的评估。

X-Force Threat Intelligence 采用行业最佳实践框架，例如：

• 钻石模型入侵分析
• 洛克希德·马丁公司网络杀伤链
• MITRE ATT&CK

威胁情报对于安全运营中心 (SOC) 的不同成员都很有价值，从一级分析师实时阻止、帮助更有经验的分析师进行调查和威胁搜寻，到帮助 SOC 领导者做出战略决策。

X-Force® Exchange 平台中有 5 种类型作为优质内容发布的优质报告：

• 威胁活动报告提供有关已发现活动的实时更新，无论是来自事件响应调查、IBM 遥测、开源还是其他形式的收集，均无一例外。安全分析师可以立即了解 X-Force 对攻击生命周期的掌握情况，而高管可以快速了解行业中的最新威胁。
• 早期预警研究报告通过 X-Force 与 Quad9 的合作，为安全分析师提供恶意域的早期预警。该研究提供了对威胁、恶意域、DNS 活动和容量指标的访问权限，以识别活动中的异常峰值。
• 恶意软件分析报告向安全分析师深入介绍提供了恶意软件的功能、入侵迹象、有效负载、互斥锁和流程。分析人员可以利用这些信息在其网络上进行猎杀，或转向其他相关信息，了解使用恶意软件的威胁团体、其他类似工具以及要在其网络上检测的行为。
• 威胁团体概况为安全分析师提供有关网络威胁团体的最新信息，包括其典型目标、历史记录、TTP（策略、技术和程序）、常见攻击媒介、顶级恶意软件以及威胁团体的下一个目标。
• 行业分析报告为高管提供行业威胁基线和未来前景，以便他们可以根据观察到的情况评估风险并分配资源，包括相关恶意软件、威胁团体和威胁活动。

域名系统 (DNS) 是用于将人们可以记住的用户友好型域名转换为计算机友好型 IP 地址的协议。

Quad9 由 IBM、Packet Clearing House 和 Global Cyber Alliance 合作构建而成，它是一个递归性 DNS 平台，可阻止恶意域，以防止计算机和 IoT 设备连接到恶意软件或网络钓鱼站点。

IBM Security® X-Force® Research 由一群拥有技能、专业知识和洞察分析的专家组成，可帮助您的公司转变事件响应和情报能力。我们会审视有关漏洞、威胁参与者、恶意软件等的网络安全威胁研究，包括来自最新行业报告的数据以及来自 IBM Security X-Force 专家的情报。

X-Force Threat Intelligence 产品组合支持 5 种产品：

• 基于 Cloud Pak® for Security 的 IBM Security® QRadar® XDR Connect
• X-Force Exchange (XFE)：研究门户
• X-Force Exchange Commercial API (C-API)：研究门户 API
• Advanced Threat Protection Feed (ATPF)：检测源 API
• QRadar® Threat Intelligence 应用程序（TI 应用程序）：QRadar 附加组件

每个产品均以机器生成或人工生成情报的形式提供连续威胁情报，并根据客户需求提供不同的用例。

每年，IBM Security X-Force（我们的内部网络安全专家和修复人员团队）都会挖掘数十亿个数据点，以揭示当今最紧迫的安全统计数据和趋势。

IBM Security 的最新研究成果发布在年度 X-Force Threat Intelligence 指数中，该指数报告根据前一年收集的数据对全球威胁形势进行了全面概述。

您可以在 Swagger 框架平台上找到更多信息和支持文档，该平台提供部署环境中 RESTful API 的交互式文档和评估。

Early Warning Feed 可通过企业版 X-Force Exchange Commercial API 获取。如果您对定价信息感兴趣，您可以通过“让我们谈谈”聊天室联系我们的一位销售代表，或致电 1 887-257-5227。

X-Force Premium Threat Intelligence Reports 可通过企业版 X-Force Exchange Commercial API 获取。如遇威胁事件，请联系 X-Force 寻求帮助：美国热线 1-888-241-9812；全球热线 (+001) 312-212-8034。

IBM X-Force Exchange 是一个基于云的威胁情报平台，支持使用、共享威胁情报并根据威胁情报采取行动。借助它可以快速研究最新的全球安全威胁、汇总可执行情报、咨询专家并与同行协作。

X-Force Exchange 提供一系列可观察指标，包括漏洞、恶意软件、恶意软件系列、IP 信誉、URL 信誉、Web 应用程序、pDNS、WHOIS 信息、恶意域和高阶情报（例如参与者、活动、事件和 TTP）。X-Force Threat Intelligence 提供对威胁、团体、恶意软件和行业的精选分析。

X-Force Threat Intelligence 数据源自 IBM 开发的基础架构和数据库、开源情报、商业来源、深层网络以及与第三方来源的合伙关系。

IBM X-Force Exchange Commercial API 提供对外部威胁情报的编程访问，以帮助了解安全事件的背景。作为 IBM X-Force Exchange 协作式平台的配套产品，该 API 使用开放式标准来帮助加快执行速度。

IBM X-Force 威胁情报可以通过使用 RESTful API（包括 STIX over TAXII 协议）整合到现有安全解决方案中，以纳入结构化和非结构化数据。

Early Warning Feed 旨在通过有关恶意域的及时且可执行的信息（包括这些域的深入生命周期及其活动的大量数据）帮助您在面对威胁时保持领先。

Early Warning Feed 专为希望尽早识别恶意域并保护其组织免受主要利用域名服务 (DNS) 的攻击（例如网络钓鱼、域生成算法 (DGA)、隧道技术和抢注）的安全专业人员而设计。

Advanced Threat Protection Feed 是一种机器可读的威胁情报订阅源，可与防火墙、入侵防御系统和 SIEM 等安全工具整合。该订阅源为企业提供程序化访问权限，以获取由我们的 X-Force 团队分类的可操作指标。

Advanced Threat Protection Feed 包括来自威胁类别的可执行指标，例如 C2 服务器、机器人、恶意软件源、网络钓鱼域、匿名化服务、扫描 IP、加密货币挖掘程序、X-Force 精选指标以及高频良性端点的阻止列表。

当指标与特定威胁类别和可执行分数 (>=5.0) 相关联时，该指标被归类为可执行指标。X-Force 的可执行威胁情报的检测率为 99.97%，误报率为 0.003%（经外部机构测试）。

Advanced Threat Protection Feed 提供机器可读的可执行指标列表，安全工具可以直接使用这些指标。Commercial API 提供一个研究平台，用于深入了解 X-Force Exchange 的所有指标、报告和建议。