终端响应与检测系统
终端检测与响应系统是基于 Gartner 提出 EDR 概念结合 CARTA “持续自适应风险与信任”安全模型开发的,用于解决终端高级威胁攻击、威胁攻击溯源及协助企业持续化改进的终端安全管控平台。
对系统配置、启动项、系统日志、软硬件、补丁安装等系统静态数据,以及系统运行的账号登陆日志、驱动变更信息、进程信息、网络连接、文件读写、注册表读写、Power- Shell&CMD命令、DNS请求、端口监听等数据进行全面采集。
1、基于专家级行为基线分析模型检测产生攻击告警;
2、通过MIRTRE ATT&CK攻击者战术知识库映射比对,定位与展示攻击阶段。
1、对威胁行为特征进行综合判定,产生安全事件和告警信息;
2、自动化分类安全告警信息,结合多种方式快速通知告警;
3、安全事件关联攻击日志和原始日志,展示攻击链详情,清晰展示攻击事件关联,快速溯源分析。
1、支持多条件组合查询,多维度数据聚合,关键信息可便签标记,便签内容高亮展示;
2、进程事件树方式展示进程关系及相关详细进程行为信息;支持图关系查询,实时展示关联调查步骤关系;
3、调查对象、关联数据支持以时间流方式抽取记录,进行查询回溯,自主生成调查取证报告。
1、支持网络隔离、阻断,设备关机,进程权限限制、隔离,文件隔离、删除等多方位处置手段;
2、支持与UniNAC网络准入控制、UniAccess终端安全管理等多种安全管控平台深度结合联动。
全面精准的数据采集
数据采集针对不同类型信息针对性分类处理,性能占用低、数据采集全面,PE文件信息、底层硬件信息文档内容等信息都可完整采集,数据关联信息以图的方式进行存储,方便查询。
1、以MITER ATT&CK™为基础,系统化对威胁检测策略规划,相比传统依赖已知案例专家规则,能够更全面的对威胁进行防御,发现未知潜在威胁;
2、独创的高速数据存储、处理引擎和图计算模型,大幅提升计算速度,有效提升威胁调查的速度,更快发现威胁。
快速的威胁检测
更高ROI
1、整体性架构平台,同一Agent集成准入控制、桌管、防泄密功能,根据企业需求与业务发展快速无缝扩展;
2、良好的兼容性,系统资源占用更少,大幅节省终端硬件投入,提升员工使用体验;
核心优势
CORE ADVANTAGE
——
产品功能
PRODUCT FEATURES
提升终端安全管理的可见性,有效发现未知威胁
能够基于统一的威胁检测框架,对威胁防御工作进行评估量化,自动对威胁进行识别,并通知安全人员
威胁调查工具可对已识别的威胁进行研究并搜寻潜在的可疑活动
客户价值
CUSTOMER VALUE
通过有效、及时的处置手段,对威胁进行遏制、删除,保护企业资产
