威胁情报模块主要通过识别原始日志中与威胁情报相关的进行提取和专项展示，主要从http、dns、tcp这三类原始日志中进行提取分析。该模块区分两种场景，本地检测和本地+云端订阅查询，单纯本地检测不需要独立授权，使用云查时需要购买独立授权，下图为有云查时的效果展示。

实时检测播报页面的使用和数据元素可参考“云端订阅中心”章节介绍。