需求分析
网络安全检测分析是攻与防的持续对抗过程,传统的网络威胁分析存在很多的关键技术问题亟需解决:
• 传统产品检测能力不足:传统的安全产品漏报、误报严重,每天产生大量的告警,并且面对高级攻防对抗场景检测偏弱,APT攻击难以发现;
• 攻击链还原需求迫切:传统安全产品无法做到对完整攻击链条的攻击监测及取证溯源,没有实现自动化攻击路径还原,使用门槛偏高;
• 监管法律法规提高要求:等保2.0、攻防演练、网络重保等,对攻击监测发现、取证溯源和未知攻击检测提出了更高的要求,监管驱动对安全产品更高的要求。
通过部署TAR威胁分析一体机,可有效提升威胁检测能力,精准判断攻击是否成功;对网络攻击事件追踪溯源、取证;精准发现内部失陷主机,发现内部设备漏洞;同时可全面感知网络威胁态势,综合展示攻击行为。
产品简介
产品简介
天阗威胁分析一体机(Threat Analysis and Response-All In One,以下简称TAR)是以攻防研究为核心,配合场景分析、资产构建、自动响应、协同防御能力,构建下一代一体化高级威胁检测与响应体系,意在为客户提供一套集检测、分析、可视、闭环响应为一体的本地网络安全分析中心。
TAR针对恶意代码等未知威胁具有细粒度检测效果,可实现包括对:未知恶意代码检查、嵌套式攻击检测、木马蠕虫病毒识别、隐秘通道检测等多类型未知漏洞(0-day)利用行为的检测。具备全流量双向检测、沙箱检测能力、提供多价值分析场景、情报赋能提升检测和分析能力、联动处置能力等功能,可有效帮助用户监测高级威胁APT攻击,应急处置僵木蠕爆发、失陷主机定位等问题,同时帮助有重保、攻防演练需求的用户用于一体化全流量威胁感知监测。
功能特点
结合日常运维习惯,提炼弱口令、爆破攻击、僵木蠕、DNS隧道、恶意域名、ATT&CK检测、攻击链检测、横向检测、失陷主机分析等多个场景化模型。
可从多维度攻击呈现,提供10个专业大屏进行展示。
系统集成高可用威胁情报库,针对敏感主机、后渗透回连进行专项监控分析。
接收我司APT设备日志,并下发策略给防火墙、IPS、WAF设备进行阻断闭环。
技术优势
业界独家集双向检测、沙箱检测、威胁情报能力、综合分析能力、大屏展示能力、响应闭环能力为一体网络安全检测分析响应设备
开箱即用,可旁路部署于核心/汇聚交换机、互联网/办公网出口等位置,不影响用户业务,节约资源,上线立刻展示威胁告警,可快速发挥效果
内置行为检测、漏洞检测的沙箱能力,可全面提升未知威胁检测能力,帮助用户发现高级威胁
能够通过返回信息判断攻击是否成功;支持基于会话进行网络报文全字段提取;支持如冰蝎4.0、反序列化漏洞、Log4j漏洞等热点事件的双向检测
如挖矿分析、攻击链分析、弱口令、暴力破解、可疑隧道、失陷主机、僵木蠕分析等,提升有效性分析能力,辅助用户溯源分析和攻击研判
集成高可用的威胁情报,针对敏感主机、后渗透回连进行专项监控分析,可与云端配合,增量威胁情报自动更新
可下发策略给同品牌防火墙、IPS、WAF、EDR进行自动阻断闭环响应;整合现有资源,可以和同品牌设备APT、NFT等无缝对接
典型应用
场景一
名称:应急处置僵木蠕场景
部署环境:旁路部署在数据中心、生产网服务侧
场景描述:可检测被黑客远程控制的僵木蠕主机及其行为,检测针对应用、系统的各类入侵,检测业务中被植入恶意代码的文件;同时可下发策略给防火墙、IPS、WAF、EDR进行自动联动阻断闭环,应急处置相关威胁。
场景二
名称:全流威胁感知溯源场景
部署环境:旁路部署在单位网络出口,通过镜像口抓取进出口网络流量
场景描述:可检测对各单位内网发起的恶意代码入侵攻击;发现正潜伏在单位内各服务器和终端主机中的各种特种木马行为,定位出失陷主机,找到业务系统异常根源;发现攻击威胁后,同时可联动全流取证溯源设备调取攻击证据,结合专家人工分析,进行攻击溯源。
场景三
名称:重大保障活动攻击监测场景
部署环境:分布旁路部署于大型企业总部与二级单位边界及核心区域
场景描述:重大保障活动场景覆盖;总部到分支机构,安全监测全覆盖;完整攻击取证和攻击链还原能力;可对全流量数据中捆绑的木马、漏洞攻击进行检测,避免恶意文件渗透进入敏感网络,减少APT攻击造成的危害和影响。
Copyright © 安讯 版权所有