0371-60127539
400-6620-135
  • 終端安全響應系統
    終端安全響應系統
    終端安全響應系統(EDR)是傳統終端安全產(chǎn)品在高級威脅檢測和響應方面的擴展和補充,通過(guò)威脅情報、攻防對抗、機器學(xué)習等方式,從主機、網(wǎng)絡(luò )、用戶(hù)、文件等維度來(lái)評估企業(yè)網(wǎng)絡(luò )中存在的未知風(fēng)險,以行為引擎為核心,利用威脅情報,縮短威脅從發(fā)現到處置的時(shí)間,有效降低業(yè)務(wù)損失,增加可見(jiàn)性,提升整體安全能力。

產(chǎn)品介紹

產(chǎn)品介紹


終端安全響應系統(EDR)是傳統終端安全產(chǎn)品在高級威脅檢測和響應方面的擴展和補充,通過(guò)威脅情報、攻防對抗、機器學(xué)習等方式,從主機、網(wǎng)絡(luò )、用戶(hù)、文件等維度來(lái)評估企業(yè)網(wǎng)絡(luò )中存在的未知風(fēng)險,以行為引擎為核心,利用威脅情報,縮短威脅從發(fā)現到處置的時(shí)間,有效降低業(yè)務(wù)損失,增加可見(jiàn)性,提升整體安全能力。



核心功能


1.提供對端點(diǎn)行為的監控與數據采集,包括終端進(jìn)程、IP訪(fǎng)問(wèn)、DNS訪(fǎng)問(wèn)、IM傳輸、郵件傳輸、U盤(pán)傳輸、瀏覽器下載、文件操作、注冊表變更、賬戶(hù)變更等。

2.針對不同階段的攻擊路徑,提供深度自動(dòng)化異常檢測能力,包括對powershell、wmic等常被利用的系統的進(jìn)程檢測以及常用的滲透工具檢測。

3.提供高可視化溯源分析展示,對可疑進(jìn)程行為的攻擊鏈路進(jìn)行溯源,包括其危害動(dòng)作及影響面。

4.支持威脅情報IOC導入,提供IOC檢測告警能力,對利用漏洞攻擊行為提供關(guān)聯(lián)CVE信息,并關(guān)聯(lián)受影響終端情況。

5.支持根據自身業(yè)務(wù)場(chǎng)景需求自行創(chuàng )建自定義異常行為檢測條件來(lái)觸發(fā)告警。

6.支持威脅追蹤,跡象數據搜索,例如對IM文件傳輸、郵件日志、DNS訪(fǎng)問(wèn)審計、證書(shū)、操作系統信息、終端進(jìn)程信息、IP訪(fǎng)問(wèn)審計、U盤(pán)記錄、驅動(dòng)信息、安裝的軟件列表等跡象數據的搜索。

7.管理平臺界面可對十萬(wàn)級以上客戶(hù)端進(jìn)行統一集中管理,包括但不限于對終端配置策略、威脅事件管理、執行處置操作等。


產(chǎn)品特點(diǎn)


1.終端行為數據采集

采集終端安全行為數據的類(lèi)別豐富,覆蓋高級威脅在終端上的蛛絲馬跡。


2.強大的數據分析能力

高性能的大數據分析平臺,可對海量終端數據集進(jìn)行實(shí)時(shí)檢索與分析,幫助客戶(hù)進(jìn)行終端數據的集中化管理。


3.異常行為的智能檢測

威脅檢測告警引擎能夠智能檢測終端異常行為,并根據威脅行為模型對檢測到的感知行為產(chǎn)生告警,為進(jìn)一步分析提供決策依據。


4.威脅情報的實(shí)時(shí)融合

實(shí)時(shí)接收云端的大數據威脅情報,并對企業(yè)內部的日志數據進(jìn)行準確的檢索,從而快速定位威脅風(fēng)險,進(jìn)行安全排查。


5.多維度的調查分析平臺

分析平臺提供多維度的調查能力,可以基于安全數據內容與背景進(jìn)行快速解析,幫助客戶(hù)識別、調查隱藏的殺傷鏈,還原事件真相,并進(jìn)行可視化的溯源分析展示。對可疑進(jìn)程行為攻擊鏈路進(jìn)行溯源,包括其危害動(dòng)作及影響面。


6.豐富的響應和遏制手段

針對于高級威脅事件提供快速的響應手段,并可整合終端安全管理系統,針對不同類(lèi)型的風(fēng)險進(jìn)行對應的威脅遏制和安全修復。


適用場(chǎng)景


1.通報內容排查

基于通報的內容和線(xiàn)索,使用威脅追蹤能力快速定位問(wèn)題終端和使用人,通過(guò)終端安全大數據進(jìn)行問(wèn)題的回溯排查,梳理威脅鏈條,定位全網(wǎng)終端風(fēng)險點(diǎn),進(jìn)行快速處理,提供相關(guān)報告。


2.威脅情報告警分析

控制中心接收到新的云端威脅情報,基于情報中某IOC和終端存儲安全數據進(jìn)行匹配命中,產(chǎn)生告警,基于告警信息進(jìn)行進(jìn)程鏈回溯,明確威脅樣本并進(jìn)行快速處置。同時(shí)對于全網(wǎng)終端進(jìn)行惡意樣本追蹤,定位感染源,進(jìn)行風(fēng)險分析和處理。


3.自定義規則告警

基于內網(wǎng)終端使用特殊性,自定義終端行為規則,設置異常行為檢測條件。當某終端匹配異常行為后觸發(fā)告警,可以快速定位到具體終端,對異常行為進(jìn)行溯源分析,并快速響應處置。


部署方式


支持單級和多級部署模式。

控制中心部署在服務(wù)器端,提供系統管理和數據應用核心能力,而且采用B/S架構,讓管理員可以隨時(shí)隨地通過(guò)瀏覽器進(jìn)行訪(fǎng)問(wèn);客戶(hù)端部署在需要保護的終端或服務(wù)器上,實(shí)現數據采集模塊、數據上報模塊、響應處置引擎等功能。