產(chǎn)品介紹

終端安全響應(yīng)系統(tǒng)（EDR）是傳統(tǒng)終端安全產(chǎn)品在高級(jí)威脅檢測(cè)和響應(yīng)方面的擴(kuò)展和補(bǔ)充，通過威脅情報(bào)、攻防對(duì)抗、機(jī)器學(xué)習(xí)等方式，從主機(jī)、網(wǎng)絡(luò)、用戶、文件等維度來評(píng)估企業(yè)網(wǎng)絡(luò)中存在的未知風(fēng)險(xiǎn)，以行為引擎為核心，利用威脅情報(bào)，縮短威脅從發(fā)現(xiàn)到處置的時(shí)間，有效降低業(yè)務(wù)損失，增加可見性，提升整體安全能力。

核心功能

1.提供對(duì)端點(diǎn)行為的監(jiān)控與數(shù)據(jù)采集，包括終端進(jìn)程、IP訪問、DNS訪問、IM傳輸、郵件傳輸、U盤傳輸、瀏覽器下載、文件操作、注冊(cè)表變更、賬戶變更等。

2.針對(duì)不同階段的攻擊路徑，提供深度自動(dòng)化異常檢測(cè)能力，包括對(duì)powershell、wmic等常被利用的系統(tǒng)的進(jìn)程檢測(cè)以及常用的滲透工具檢測(cè)。

3.提供高可視化溯源分析展示，對(duì)可疑進(jìn)程行為的攻擊鏈路進(jìn)行溯源，包括其危害動(dòng)作及影響面。

4.支持威脅情報(bào)IOC導(dǎo)入，提供IOC檢測(cè)告警能力，對(duì)利用漏洞攻擊行為提供關(guān)聯(lián)CVE信息，并關(guān)聯(lián)受影響終端情況。

5.支持根據(jù)自身業(yè)務(wù)場(chǎng)景需求自行創(chuàng)建自定義異常行為檢測(cè)條件來觸發(fā)告警。

6.支持威脅追蹤，跡象數(shù)據(jù)搜索，例如對(duì)IM文件傳輸、郵件日志、DNS訪問審計(jì)、證書、操作系統(tǒng)信息、終端進(jìn)程信息、IP訪問審計(jì)、U盤記錄、驅(qū)動(dòng)信息、安裝的軟件列表等跡象數(shù)據(jù)的搜索。

7.管理平臺(tái)界面可對(duì)十萬(wàn)級(jí)以上客戶端進(jìn)行統(tǒng)一集中管理，包括但不限于對(duì)終端配置策略、威脅事件管理、執(zhí)行處置操作等。

產(chǎn)品特點(diǎn)

1.終端行為數(shù)據(jù)采集

采集終端安全行為數(shù)據(jù)的類別豐富，覆蓋高級(jí)威脅在終端上的蛛絲馬跡。

2.強(qiáng)大的數(shù)據(jù)分析能力

高性能的大數(shù)據(jù)分析平臺(tái)，可對(duì)海量終端數(shù)據(jù)集進(jìn)行實(shí)時(shí)檢索與分析，幫助客戶進(jìn)行終端數(shù)據(jù)的集中化管理。

3.異常行為的智能檢測(cè)

威脅檢測(cè)告警引擎能夠智能檢測(cè)終端異常行為，并根據(jù)威脅行為模型對(duì)檢測(cè)到的感知行為產(chǎn)生告警，為進(jìn)一步分析提供決策依據(jù)。

4.威脅情報(bào)的實(shí)時(shí)融合

實(shí)時(shí)接收云端的大數(shù)據(jù)威脅情報(bào)，并對(duì)企業(yè)內(nèi)部的日志數(shù)據(jù)進(jìn)行準(zhǔn)確的檢索，從而快速定位威脅風(fēng)險(xiǎn)，進(jìn)行安全排查。

5.多維度的調(diào)查分析平臺(tái)

分析平臺(tái)提供多維度的調(diào)查能力，可以基于安全數(shù)據(jù)內(nèi)容與背景進(jìn)行快速解析，幫助客戶識(shí)別、調(diào)查隱藏的殺傷鏈，還原事件真相，并進(jìn)行可視化的溯源分析展示。對(duì)可疑進(jìn)程行為攻擊鏈路進(jìn)行溯源，包括其危害動(dòng)作及影響面。

6.豐富的響應(yīng)和遏制手段

針對(duì)于高級(jí)威脅事件提供快速的響應(yīng)手段，并可整合終端安全管理系統(tǒng)，針對(duì)不同類型的風(fēng)險(xiǎn)進(jìn)行對(duì)應(yīng)的威脅遏制和安全修復(fù)。

適用場(chǎng)景

1.通報(bào)內(nèi)容排查

基于通報(bào)的內(nèi)容和線索，使用威脅追蹤能力快速定位問題終端和使用人，通過終端安全大數(shù)據(jù)進(jìn)行問題的回溯排查，梳理威脅鏈條，定位全網(wǎng)終端風(fēng)險(xiǎn)點(diǎn)，進(jìn)行快速處理，提供相關(guān)報(bào)告。

2.威脅情報(bào)告警分析

控制中心接收到新的云端威脅情報(bào)，基于情報(bào)中某IOC和終端存儲(chǔ)安全數(shù)據(jù)進(jìn)行匹配命中，產(chǎn)生告警，基于告警信息進(jìn)行進(jìn)程鏈回溯，明確威脅樣本并進(jìn)行快速處置。同時(shí)對(duì)于全網(wǎng)終端進(jìn)行惡意樣本追蹤，定位感染源，進(jìn)行風(fēng)險(xiǎn)分析和處理。

3.自定義規(guī)則告警

基于內(nèi)網(wǎng)終端使用特殊性，自定義終端行為規(guī)則，設(shè)置異常行為檢測(cè)條件。當(dāng)某終端匹配異常行為后觸發(fā)告警，可以快速定位到具體終端，對(duì)異常行為進(jìn)行溯源分析，并快速響應(yīng)處置。

部署方式

支持單級(jí)和多級(jí)部署模式。

控制中心部署在服務(wù)器端，提供系統(tǒng)管理和數(shù)據(jù)應(yīng)用核心能力，而且采用B/S架構(gòu)，讓管理員可以隨時(shí)隨地通過瀏覽器進(jìn)行訪問；客戶端部署在需要保護(hù)的終端或服務(wù)器上，實(shí)現(xiàn)數(shù)據(jù)采集模塊、數(shù)據(jù)上報(bào)模塊、響應(yīng)處置引擎等功能。