安全狗云眼云主机入侵监测及安全管理平台

借鉴Gartner提出的CWPP设计思路，采用先进的端点检测及响应（EDR）技术模型、自适应安全架构及ATT&CK在Server EDR中的应用相结合的理念，构建的新一代(云)主机入侵监测及安全管理系统，解决私有云、混合云中主机安全监测及防护问题。

立即咨询

首页 > 产品中心 > 云安全 > 安全狗云眼云主机入侵监测及安全管理平台

安全狗云眼云主机入侵监测及安全管理平台 icon

产品介绍

主机安全成为攻防对抗的新战场 icon

攻击者的手法提升，如不扫描，不落地，污染日志等比较普及。内网隐患47%，互联网隐患26%，生产网隐患19% 办公网隐患8%。

新基建下，泛主机侧成为新边界 icon

如果主机自身存在问题，那么前端层层部署的各类设备和措施就形同虚设，起不到应有的作用。在内网或者云上，很难找到一个类似“网关的位置”来部署设备,从而进行安全监测与防护。

在云时代，基本节点即不是主机也不是虚拟机，甚至也不是容器，是一个有着自己的CPU、内存进程空间的计算实体，由此衍生出了新的边界，即：微边界。

最后一道防线该怎么防？ icon

在事前、事中、事后三个阶段，从风险点识别、反杀伤链、入侵处置、安全闭环三个维度来看待主机安全问题，通过主机EDR能力的增强，反哺SIEM或SOC平台，最终达到全网自动响应已知威胁的能力以及对未知定向攻击的检测告警能力。

事前高危响应

1、从安全运营角度，对资产进行清点和发现，实现检测异常、风险评估及关联分析；2、以符合业务运营视角，对资产安全状态进行管理，共同维护资产信息的完整性和准确性。

事中持续识别

1、基于公有云海量攻防大数据分析和洛克希德马丁“杀伤链”模型，安全狗云眼内置分析模型和规则，构建反杀伤链模型。

事中入侵检测

1、通过攻击威胁聚类分析，结合内置关联分析模型和规则，以可视化的方式进行展示；2、响应处置与溯源审计。

事后安全加固

1、从风险发现、威胁检测、响应修复、安全防护，最终形成闭环；2、能够与网络流量、边界安全设备进行联动，实现自动化处置，如一键封网。

产品整体功能

产品架构

云+端架构

云眼采用云 + 端的云安全管理平台，为用户解决公有云、私有云和混合云环境中可能遇到的安全及管理问题；提供了包含安全体检、资产管理、漏洞风险管理、入侵威胁管理、安全监控、安全防护、合规基线、安全报表、安全告警等功能。

产品优势

威胁情报驱动：基于威胁情报的大数据分析能力

安全狗500W+主机防护，拥有最新的IOC数据，基于安全狗公司云端的海量数据处理获取到未知威胁，与主机端点采集到的安全数据相结合进行大数据分析，准确识别出威胁事件。

多模块联动构建闭环系统

资产管理、安全体检、安全监控、漏洞风险、入侵威胁、合规基线、威胁情报等多个功能模块联动防护，模块间数据联通，形成闭环系统，实现高效运维。

支持传统IT架构及云计算平台

同时支持公有云和私有云架构，已与各大主流公有云平台建立合作（阿里云、腾讯云、青云、UCloud、AWS、Azure、华为云、金山云、京东云、天翼云等）。

采用轻量级Agent

具备全部功能的最小集合，减轻Agent对于主机性能的影响，能够动态地升级和更新。 Agent轻量化，采用检测与响应的思路，而不是采用传统比较重的杀毒模式，占用较小的内存和CPU资源，提供对Agent的资源占用进行限制；弹性自适应，可以根据业务的负载进行弹性调整，在业务主机的高峰期如果有需要可以实现降级。

采集数据信息的详细说明（1）数据采集示例：细粒度的静态资产采集 icon

硬件信息

主机名、IPv4地址、MAC地址、操作系统、主板型号、主板版本、发行时间、内存大小、内存使用率、使用插槽、CPU、硬盘大小、硬盘使用率、网卡等信息。

端口资产

端口号、对内/对外端口、协议、进程名、服务名等信息。

数据库

名称、版本号、安装路径、端口地址、协议类型、运行权限、配置文件和日志文件路径、启动参数等。支持的数据库包括：MySQL、Redis、Oracle、MongoDB、Memcache、Postgres、HBase、DB2、MSSQL等。

进程资产

进程名、PID、路径、Hash、运行状态、运行用户、运行权限、启动时间、父进程信息、是否僵尸进程、IO Waiting进程、非包安装进程等。

账号资产

账号名、是否root权限、sudo账号、启用/停用状态、是否可交互登录、所属用户组、UID/GID、Home目录、密码过期时间、上次登录时间、上次修改密码时间、上次登录终端和登录IP、账号公钥key等信息。

容器资产

Docker容器系统信息、软件信息、网络数据、容器运行日志、文件等信息。

软件应用

软件应用的名称、版本号、安装路径、服务状态、是否开机启动项、是否系统服务、定时任务等。

WEB站点

网站域名、网站标题、路径、运行状态、访问日志路径、错误日志路径、运行权限及用户、Web目录权限为“777”、Web服务以Root权限运行等。

采集数据信息的详细说明（2）数据采集示例：细粒度的静态资产采集 icon

WEB容器

Web容器名称、版本号、安装路径、启动用户等，支持的Web容器IIS、Apache、Nginx、Tomcat、Weblogic、JBoss、Wildfly、Jetty、WebSphere。

WEB应用

Web应用名称、版本号、服务类型、对应的站点域名、根目录、虚拟目录等。支持PHPMailer、wordpress、ThinkPHP、pan、BigTree、JPress、openwbs、jenkins、ZABBIX、Discuz!、ThinkCMF等。

WEB框架

Web应用框架名称、框架语言、版本、服务类型、根目录和应用路径等。支持的Web应用框架包含Java语言框架、PHP语言框架、Python语言框架。

软件包

安装包名、描述、版本、安装包类型和安装时间。

Jar包

Jar包名称、命名空间、类型（是否为依赖包）、版本、是否可执行、绝对路径和MD5、Jar包引用进程信息等。

计划任务

包括Crontab计划任务、At计划任务、Batch计划任务三类计划任务。计划任务的执行周期、执行命令脚本、执行用户和配置文件路径。

环境变量

采集环境变量名、变量的类型、变量值。

内核模块

内核模块名称、内核模块的描述、主机上对应内核模块路径、版本以及内核大小、依赖的进程数和依赖的模块数量。

采集数据信息的详细说明（3）数据采集示例：动态行为与关联媒介信息采集 icon

进程

网络行为：目标IP，端口，时间。文件行为：文件路径，操作，时间。启动行为：进程启动时间，命令参数，父进程，用户及权限，模块信息。

文件操作

添加或修改自动运行程序，修改系统外壳程序，修改应用程序初始化加载项，新增服务，禁止注册浏览器辅助对象。

网络行为

采集方式：会话监控、微隔离，采集内容：采集网络连接信息包含最后一次连接时间、本地IP和端口、远端连接IP和端口、服务、进程路径、PID、连接方向和连接建立次数。

主机资产全面收集，快速搜索问题资产，快速响应 icon

风险管理

风险处置工作有的放矢，心中有数！对操作系统、组件、框架、数据库等漏洞风险和弱口令、缺陷配置快速发现和持续监测；不拘泥于传统的CVE、CVSS按照高中低危急漏洞进行分类，对漏洞风险是否存在EXP、POC、毁灭性漏洞，如心脏滴血脏牛等，提供多标签化的筛选。

风险监测、漏洞发现

漏洞

1、已知漏洞：在线检测、修复、复测验证 2、未知漏洞：脚本检测、修复、复测验证

弱口令

1、自定义弱口令 2、在线验证复测、禁用弱口令账号

风险配置

1、在线复测验证、禁用、隔离

应用漏洞发现与修复

CVE-2020-13933: Apache Shiro 权限绕过漏洞响应处置，在2020年的hvv中其前序漏洞Apache Shiro Padding Oracle被广泛使用，造成了极大的影响。

漏洞通告

2020年08月18日15:00 Apache Shiro框架0day漏洞披露

漏洞影响资产清点

2020年08月18日15:48接收到漏洞通告，采用云网系统进行漏洞资产盘点。影响版本确认：涉及电子商务系统、涉及电子商城、移动应用平台，漏洞风险报告生成

资产管理信息确认

2020年08月18日 18:30 通过云网系统，明确资产负责人、负责人邮箱、机房位置，推送漏洞整改通知

漏洞业务风险评估

2020年08月19日 13:30 各资产管理者，负责人根据风险报告及其业务特性评估漏洞影响

修复漏洞

2020年08月19日—08月21按照漏洞风险报告及修复手册下发进行漏洞修复

弱密码

云眼部署后，我们发现了300多个账号的弱口令问题，利用平台进行了整改，很好的解决了服务器上的这类问题。 ——某航空类国有企业安全负责人

入侵路径

入侵威胁管理

展示及处理各类入侵事件及具有高度威胁的事件，支持识别并处置的入侵威胁事件包括：病毒木马、网页后门、反弹shell、异常账号、日志删除、异常登录、异常进程、系统命令校验等。

核心技术-Webshell威胁检测能力 icon

优势

1.具备主动查杀的能力

2.具备识别变种的能力: 采用simhash指纹指纹库匹配技术 AI检测引擎基于样本间的特征向量距离可取区分其相似程度

3.AI检测引擎具备高效的检测能力

4.支持多引擎自主组合,适应不同需求

与蜜罐诱捕系统联动响应 icon

安全监控重要服务器，风吹草动快速发现 icon

全面安全监控

支持开启各类监控包括登录监控、完整性监控、操作审计、进程监控、资源监控、性能监控。全天候监控主机的运行情况，确保第一时间发现服务器问题，帮助快速发现安全风险和性能瓶颈。

风险出现，快速进行事件响应及安全加固 icon

安全防护

提供强大的安全防护功能支持暴力破解防护、扫描防护、病毒防护、IP黑白名单、端口安全防护、访问控制、进程行为控制、反弹shell监控、远程登录防护、本地提权防护。

进程行为无所遁形，全面保障 icon

攻击队进入内网，我们启用了云眼IP黑白名单、进程白名单设置，有效切断和阻止了接近靶机环境。 ——某央企集团安全负责人

威胁情报

云眼威胁情报来自云端的分析成果，针对高级持续性威胁、新型木马、特种免杀木马进行规则化描述。最终确保发现的未知威胁的准确性，并生成可供大数据分析平台使用的威胁情报。

依赖于威胁情报，全网主机进行检测情报命中 icon

威胁捕获，快速进行全面风险识别，快速进行情报检查某企业，采用安全狗的产品后，通过他们内部自己的情报导入，发现了很多机器都中了挖矿病毒，成为矿工的服务器。目前支持包括样本hash、黑IP、C2域名的威胁捕获。后续支持多源情报导入，包括内部情报、外部情报、入站情报、出站情报等不同运营角度的情报数据。

等保2.0主机层面安全要求，全面满足 icon

等保合规提供官方等保基线模板，满足等保二级及等保三级要求；支持用户自定义基线模板；支持合规基线检查策略批量下发。

应用场景

多云架构及传统数据中心一体化安全管控

通过部署云眼，依托极强的适应性、扩展性、稳定性，支持各种虚拟化平台及虚拟机操作系统，同时可对物理服务器进行统一的安全管理。

主机安全威胁管理防护

通过在服务器部署云眼客户端，可实现全面的资产采集、漏洞风险管理及入侵威胁管理，同时具备隔离修复措施，协助用户及时定位已经失陷的主机，响应已知、未知威胁风险，避免内部大面积主机安全事件的爆发。

等级保护建设合规

通过在业务系统服务器部署云眼客户端，开启安全防护策略以及完成基线合规性检测，全面满足在等保2.0标准中针对主机防病毒/补丁、漏洞管理、集中管控等安全控制点的合规要求，协助用户完成等级保护二、三级建设。

产品推荐查看更多>>

深信服信服云网站防护套餐

深信服—信服云托管云网站防护套餐，可以为互联网业务提供持续的风险评估 + 实时监测 + 安全处置 + 专家值守等服务，让用户重新获得更加安全的保障。

风险评估

实时监测

安全处置

立即咨询查看详情

Radware CNP云原生安全防护服务

Radware CNP为全面保护用户的亚马逊云科技云资产提供了一种无需代理端的云原生解决方案，不仅可以保护云环境的整体安全态势，还可以保护单个云工作负载免受云原生攻击矢量的影响，满足用户在云端的安全和合规需求。

云基础设施的权限管理

跨云的全视图监控

云威胁的检测和响应

云安全态势管理

立即咨询查看详情

阿里云云安全中心（态势感知）

云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系统，通过防勒索、防病毒、防篡改、合规检查等安全能力，帮助用户实现威胁检测、响应、溯源的自动化安全运营闭环，保护云上资产和本地主机并满足监管合规要求。

全网威胁管控

跨平台部署，统一控制台管理

防病毒、防勒索、防篡改

立即咨询查看详情

数字化社区查看更多>>