天琴下一代监测响应和诱捕系统
dota2比分网 > 安全产品 > 天琴下一代监测响应和诱捕系统
产品介绍

下一代监测响应和诱捕系统充分结合基于行为识别未知威胁和基于欺骗防御主动诱捕威胁二者优势,实现主被动监测相结合,监测能力相促进,防护范围互补充,打造一体化智能安全监测与响应产品。基于行为的实时监测和分析:通过实时采集监控主机节点各类行为和日志数据,形成正常行为图谱;基于行为特征、UEBA、关联分析、数据标记、威胁情报、威胁搜猎等技术提供对高级可持续性威胁、未知恶意代码等新型威胁以及各类异常行为的检测和发现,有效解决对未知威胁、高级威胁的检测和发现能力。基于欺骗防御技术实现威胁诱捕:通过在内网部署诱捕节点或利用检测节点空闲资源,基于蜜罐、欺骗防御等技术通过布置仿真的各类高、中、低交互威胁诱捕器实现对威胁进行主动、快速诱捕的能力;有效解决内网防护策略无法全面覆盖的问题。


功能特性
  • 周边环境模拟

    系统针对周边计算环境,可以通过学习后进行模拟和仿真,模拟构成诱捕系统,该系统在访问过程和响应上和正式业务相同,但是系统可以根据应用情况披露部分脆弱点,以便恶意程序可以获得对应攻击点。采用周边环境融合的模式,可以在深度隐藏的前提下提升效率,从而将系统的诱捕能力发挥到新的水平;

  • 威胁溯源取证

    结合检测节点和诱捕节点上采集的各类行为日志数据,基于ATT&CK框架对威胁进行标定和分析,还原完整攻击链。结合各类行为日志数据和流量包,对事件进行溯源,对攻击过程和行为进行取证;

  • 日志采集分析

    基于内核驱动实现对主机上的各类行为、日志、状态、流量数据进行实时采集,有效防止各类攻击行为的逃逸,为威胁检测和分析提供完整基础数据支撑;采集的数据分为以下几类:行为日志类:包括对网络、进程、内存、文件、配置等行为日志进行抓取;系统状态类:包括对系统进程、服务、用户列表、登录记录等进行抓取;网络流量类:包括对网络流量中常用应用协议进行协议,支持按需抓取指定进程、端口、时间段网络流量;


  • 威胁主动诱捕

    通过在网络内虚拟虚假的计算、业务环境,即威胁诱捕器,基于欺骗技术吸引攻击者攻击虚假的环境。威胁诱捕器对正常用户不可见,任何触发欺骗的动作、进入威胁诱捕器都是异常,因此威胁诱捕器误报率极低,可以高效快速检测内网横向渗透的威胁。系统采用高、中、低交互威胁诱捕器相结合,仿真大量的主机节点、系统、应用、服务、蜜网等,对进入内网的威胁进行主动诱捕,并完整记录攻击者在威胁诱捕器中的行为以及相关流量数据;


  • 威胁情报检测

    产品支持基于威胁情报进行检测的能力,通过定时和云端威胁情报库进行同步,更新最新的威胁情报到本地来进行检测。云端威胁情报库融合了国内外最新的威胁情报,同时也支持接口导入其他威胁情报数据,利用威胁情报能够快速发现恶意IP、恶意域名、恶意URL、恶意Email以及恶意文件等各类威胁事件,同时为攻击溯源分析提供数据支撑;


  • 动态行为分析

    传统的病毒检测方案基本上都是基于静态特征的匹配,这种方式只能发现已知的病毒和威胁,对于新的病毒或者采用了高级伪造技巧的病毒,传统的方案就无能为力。而一个有破坏行为的病毒,不管它怎么伪造,最后必定有有别于正常行为的异常行为出来,只要异常行为出来,那么基于行为就可以快速进行识别。因此,基于行为的动态分析是发现未知威胁和高级威胁的有效手段。基于主机上实时采集的行为,基于行为分析引擎通过行为模式识别来对恶意、异常行为进行识别,可以高效监测各类流行威胁(勒索、挖矿等)和高级威胁的快速检测和发现;


  • 资源异常监测

    支持对主机系统各类资源进行监控,包括主机进程、主机服务、主机网络流量等,通过对历史数据的采集和学习,系统自动生成对应基线和图谱,在检测过程中发生变化时进行预警,同时,产品支持自定义规则功能,允许管理员按需添加定制化异常监测策略,对网络资源、系统服务、系统进程进行精细化检测和异常发现;


  • 威胁智能分析

    基于检测节点和诱捕节点各类行为日志数据,采用行为分析(UEBA)、关联分析、数据标记、威胁情报、威胁诱捕、威胁狩猎等智能安全引擎识别各类高级威胁或异常行为,快速发现各类网络安全、内部安全和业务安全问题。基于关联分析引擎实现对各种检测模块输出事件和威胁情报等进行多维度关联分析,提高安全事件告警的准确性,降低误报;

  • 威胁应急处置

    对发现的威胁事件,系统支持采用手动响应、自动响应、联动响应、闭环处理等多种手段对威胁进行快速处理。针对有预置处置脚本的事件,系统支持通过威胁处置脚本提供对威胁事件进行快速处置、对主机节点快速恢复的能力。同时,产品也提供联动接口,支持与防火墙等网关设备进行联动来实现对威胁进行立体式阻断或清除;


技术优势
全面的威胁溯源分析能力 +-

结合检测节点和诱捕节点上采集的各类行为日志数据,基于ATT&CK框架对威胁进行标定和分析,还原完整攻击链,结合各类行为日志数据和流量包,对事件进行溯源,对攻击过程和行为进行取证。


及时的威胁处置响应能力 +-

对发现的威胁事件,采用手动响应、自动响应、联动响应、闭环处理等多种手段进行快速处理,通过威胁处置脚本提供对威胁进行快速处置、对主机节点快速恢复的能力。


体系化的威胁分析能力 +-

基于全方位的智能安全检测和强大的威胁诱捕能力,产品可以提供全面的安全检测覆盖能力。从攻防视角:用ATT&CK模型对产品的安全能力进行量化评估。系统当前已经覆盖常见的、主流的攻击技术,占模型总数的60%左右。从安全场景视角:系统覆盖了主机典型的安全场景场景,包括网络安全里常见的病毒、僵木蠕、勒索挖矿等,同时也支持对内部安全类、业务安全类安全场景的检测和分析。


丰富的威胁诱捕能力 +-

采用高、中、低交互诱捕器相结合技术,提供全面的威胁诱捕能力,支持主流各类设备、系统、应用、服务和蜜网的仿真能力,支持用户按需自定义威胁诱捕器,支持灵活的部署方式,可单独部署诱捕节点,也可在检测节点上启用诱捕功能来增加诱捕环境的密度,提高威胁诱捕的效率。


一体化主被动安全监测能力 +-

创新的基于威胁诱捕和行为分析为基础的主、被动安全监测技术相结合,同时结合关联分析、威胁情报、数据标记、威胁狩猎等引擎,提供全方位智能安全检测和分析能力,可智能检测针对网络的各类网络攻击和异常行为;快速发现各类网络安全、内部安全和业务安全问题。


典型部署
  • 一站式内网安全管理
  • 内网安全监测
  • 服务器安全检测


内网安全分析、威胁发现、处置响应、溯源分析为一体的一站式安全分析平台,在服务器区部署管理中心,在内网主机上安装检测节点客户端软件,计算资源富裕的主机上按需可同时启用威胁诱捕器模块;可在各子网按需再配置一到多台(物理/虚拟)主机并安装上诱捕节点客户端软件,每个诱捕节点上可同时启用多种高、低交互威胁诱捕器, 并可按需生成蜜网(虚拟子网);各客户端软件将采集到的各类告警、日志数据汇聚到管理中心进行统一分析、管理。






内网主机病毒、木马、蠕虫、勒索、挖矿、新型威胁和高级威胁等网络安全问题的快速检测和处置,在服务器区部署管理中心,在各子网按需配置一到多台(物理/虚拟)主机并安装上诱捕节点客户端软件;每个诱捕节点上可同时启用多类高、低交互威胁诱捕器,并可按需生成蜜网(虚拟子网);各诱捕节点将威胁诱捕器捕获的各类告警、日志数据汇聚到管理中心进行统一分析、管理。






服务器安全检测,包括各类病毒木马、以及异常行为操作、异常资源占用、异常网络通信等各类内部安全和业务安全问题的监测和预警,在服务器区部署管理中心,在内网主机上安装检测节点客户端软件;客户端软件按需采集主机上各类行为日志数据汇聚到管理中心进行统一分析、管理。





应用价值

一、快速掌握内网安全态势

创新的基于威胁诱捕和行为分析为基础的主、被动安全监测技术相结合,消除内网监测盲区,能够第一时间发现攻击行为,快速侦测内网威胁并预警。

二、提高安全事件的响应能力

在发现攻击行为后,能够第一时间调用威胁处置脚本自动对威胁进行处置,将威胁造成的影响降到最低。提高安全事件的响应能力,缩短攻击的影响周期,减少攻击造成的损失。

三、针对攻击行为的快速回溯

通过记录攻击者完整的行为和过程数据,实现对攻击行为的快速取证溯源,对网络安全破坏者进行有效震慑。

四、一站式威胁管理

综合多种智能安全分析手段,全方位发现各类网络安全、内部安全和业务安全问题,集环境模拟、威胁发现、处置响应、溯源分析为一体,实现网络“监测、预警、处置、恢复”的业务闭环,提升网络安全防御水平。