Whisper

Whisper 是什么？

Whisper 是安全团队的基础设施情报平台，将互联网基础设施映射为单一的可查询图谱。它连接 IP、域名、证书、ASN 和路由路径等实体，让分析师能够探索互联网组件之间的关系及其随时间的变化。

该平台旨在比跨多个独立来源拼凑研究更快地回答基础设施问题。它持续摄入大规模数据，并通过图谱和查询接口呈现，适用于调查工作流和 AI 辅助研究。

主要特性

• 统一的基础设施知识图谱：单一知识图谱连接 IP、域名、证书、ASN 和路由路径信息，而不是将 DNS、路由和归属数据视为独立孤岛。
• 图谱驱动查询：平台支持直接图谱查询（称为“Cypher queries”），结果可在毫秒内返回。
• 单一模式下的多源丰富：DNS、BGP、WHOIS、GeoIP、DNSSEC、SPF 策略和声誉数据以单一模式呈现，减少手动交叉引用。
• 广泛覆盖的馈送和持续更新映射：页面描述大规模实时映射，包括持续刷新的图谱。
• 多种访问路径：用户可通过 API 查询、使用原生连接器丰富现有平台，或允许 AI 代理通过 MCP（Model Context Protocol）访问，用于调查工作流。
• 预定义的调查式问题：示例包括追踪路由变化、共享基础设施信号（如名称服务器和注册人）以及跨多个威胁馈送的声誉信号。

如何使用 Whisper

1. 探索平台或请求演示，查看图谱和查询工作流。
2. 连接您的工具，选择一种访问方式：API 查询、现有技术栈的原生连接器，或 AI 代理的 MCP 访问。
3. 运行针对性图谱查询，检索基础设施上下文，如归属、托管上下文、路由行为和历史变化。
4. 使用结果生成调查输出——例如，让 AI 代理使用图谱返回的基础设施上下文生成调查报告。

使用场景

• 即时告警丰富：当告警针对 IP 触发时，Whisper 可显示相关归属、托管的其他服务、ASN 滥用历史，以及最近时间窗口（如“过去 30 天”）的变化，在分析师开票前。
• 对手基础设施映射：从单一 C2 域名开始，团队可追踪相关基础设施，如共享名称服务器、重叠注册人、ASN 迁移和托管模式，以映射整个活动。
• 链外调查上下文：对于加密货币流，团队可从托管退出点追踪，查看其后端基础设施，包括托管上下文、DNS、BGP 路由和归属历史。
• 外部攻击面映射：团队可识别与组织关联的域名、子域名、IP 和 ASN，查找如暂存系统、仍指向已停用主机的测试子域名，以及影子基础设施。
• 合规与下架追踪：对于监管机构提供的域名列表，Whisper 可用于识别这些域名是否曾在组织基础设施上，以及它们随时间迁移的位置。

常见问题

• Whisper 连接哪些互联网数据？ 页面描述跨 IP、域名、证书、ASN 和路由路径等实体的连接，以及包括 DNS、BGP、WHOIS、GeoIP、DNSSEC、SPF 策略和声誉的丰富。

• 用户如何访问图谱？ Whisper 支持通过直接 API 查询、现有平台的原生连接器以及 MCP 访问，以便 AI 代理检索基础设施上下文。

• 查询速度有多快？ 页面指出，对 Whisper 图谱的示例实时查询可在毫秒内返回。

• Whisper 能帮助生成 AI 调查报告吗？ 页面描述 AI 辅助工作流，其中 AI 代理通过 MCP 访问基础设施上下文，然后撰写包含归属、托管上下文、风险评分和历史变化的调查报告。

• Whisper 仅云部署吗？ 页面指出 Whisper 支持云托管或本地部署。

替代方案

• 由多个 API 构建的安全增强堆栈：许多团队将独立的 DNS/路由/WHOIS/GeoIP/信誉服务拼凑在一起。与 Whisper 相比，这些方法通常需要手动关联和单独的工作流程，而不是单一图谱和单一查询语言。
• 用于威胁情报的图数据库解决方案：通用图数据库可以建模关系，但它们本身并不提供 Whisper 页面所述的专用互联网基础设施映射和数据源聚合。
• 域名/ASN 信誉平台：主要关注信誉和指标查询的工具可以支持工作流程的部分，但可能无法将端到端基础设施关系（如路由变更和跨层连接）暴露为统一的、可查询图谱。
• 通过 SIEM/SOAR 连接器的威胁情报增强：基于 SIEM/SOAR 的增强可以帮助自动化上下文检索，但替代方案仍受限于这些系统已有的信号，而不是专为调查透视设计的单一基础设施图谱。