需求分析
網絡安全檢測分析是攻與防的持續對抗過程,傳統的網絡威脅分析存在很多的關鍵技術問題亟需解決:
? 傳統產品檢測能力不足:傳統的安全產品漏報、誤報嚴重,每天產生大量的告警,并且面對高級攻防對抗場景檢測偏弱,APT攻擊難以發現;
? 攻擊鏈還原需求迫切:傳統安全產品無法做到對完整攻擊鏈條的攻擊監測及取證溯源,沒有實現自動化攻擊路徑還原,使用門檻偏高;
? 監管法律法規提高要求:等保2.0、攻防演練、網絡重保等,對攻擊監測發現、取證溯源和未知攻擊檢測提出了更高的要求,監管驅動對安全產品更高的要求。
通過部署TAR威脅分析一體機,可有效提升威脅檢測能力,精準判斷攻擊是否成功;對網絡攻擊事件追蹤溯源、取證;精準發現內部失陷主機,發現內部設備漏洞;同時可全面感知網絡威脅態勢,綜合展示攻擊行為。
產品簡介
產品簡介
天闐威脅分析一體機(Threat Analysis and Response-All In One,以下簡稱TAR)是以攻防研究為核心,配合場景分析、資產構建、自動響應、協同防御能力,構建下一代一體化高級威脅檢測與響應體系,意在為客戶提供一套集檢測、分析、可視、閉環響應為一體的本地網絡安全分析中心。
TAR針對惡意代碼等未知威脅具有細粒度檢測效果,可實現包括對:未知惡意代碼檢查、嵌套式攻擊檢測、木馬蠕蟲病毒識別、隱秘通道檢測等多類型未知漏洞(0-day)利用行為的檢測。具備全流量雙向檢測、沙箱檢測能力、提供多價值分析場景、情報賦能提升檢測和分析能力、聯動處置能力等功能,可有效幫助用戶監測高級威脅APT攻擊,應急處置僵木蠕爆發、失陷主機定位等問題,同時幫助有重保、攻防演練需求的用戶用于一體化全流量威脅感知監測。
功能特點
結合日常運維習慣,提煉弱口令、爆破攻擊、僵木蠕、DNS隧道、惡意域名、ATT&CK檢測、攻擊鏈檢測、橫向檢測、失陷主機分析等多個場景化模型。
可從多維度攻擊呈現,提供10個專業大屏進行展示。
系統集成高可用威脅情報庫,針對敏感主機、后滲透回連進行專項監控分析。
接收我司APT設備日志,并下發策略給防火墻、IPS、WAF設備進行阻斷閉環。
技術優勢
業界獨家集雙向檢測、沙箱檢測、威脅情報能力、綜合分析能力、大屏展示能力、響應閉環能力為一體網絡安全檢測分析響應設備
開箱即用,可旁路部署于核心/匯聚交換機、互聯網/辦公網出口等位置,不影響用戶業務,節約資源,上線立刻展示威脅告警,可快速發揮效果
內置行為檢測、漏洞檢測的沙箱能力,可全面提升未知威脅檢測能力,幫助用戶發現高級威脅
能夠通過返回信息判斷攻擊是否成功;支持基于會話進行網絡報文全字段提??;支持如冰蝎4.0、反序列化漏洞、Log4j漏洞等熱點事件的雙向檢測
如挖礦分析、攻擊鏈分析、弱口令、暴力破解、可疑隧道、失陷主機、僵木蠕分析等,提升有效性分析能力,輔助用戶溯源分析和攻擊研判
集成高可用的威脅情報,針對敏感主機、后滲透回連進行專項監控分析,可與云端配合,增量威脅情報自動更新
可下發策略給同品牌防火墻、IPS、WAF、EDR進行自動阻斷閉環響應;整合現有資源,可以和同品牌設備APT、NFT等無縫對接
典型應用
場景一
名稱:應急處置僵木蠕場景
部署環境:旁路部署在數據中心、生產網服務側
場景描述:可檢測被黑客遠程控制的僵木蠕主機及其行為,檢測針對應用、系統的各類入侵,檢測業務中被植入惡意代碼的文件;同時可下發策略給防火墻、IPS、WAF、EDR進行自動聯動阻斷閉環,應急處置相關威脅。
場景二
名稱:全流威脅感知溯源場景
部署環境:旁路部署在單位網絡出口,通過鏡像口抓取進出口網絡流量
場景描述:可檢測對各單位內網發起的惡意代碼入侵攻擊;發現正潛伏在單位內各服務器和終端主機中的各種特種木馬行為,定位出失陷主機,找到業務系統異常根源;發現攻擊威脅后,同時可聯動全流取證溯源設備調取攻擊證據,結合專家人工分析,進行攻擊溯源。
場景三
名稱:重大保障活動攻擊監測場景
部署環境:分布旁路部署于大型企業總部與二級單位邊界及核心區域
場景描述:重大保障活動場景覆蓋;總部到分支機構,安全監測全覆蓋;完整攻擊取證和攻擊鏈還原能力;可對全流量數據中捆綁的木馬、漏洞攻擊進行檢測,避免惡意文件滲透進入敏感網絡,減少APT攻擊造成的危害和影響。
Copyright ? 啟明星辰 版權所有 京ICP備05032414號 京公網安備11010802024551號