未来智安EDR终端威胁检测与响应_端点入侵检测

未来智安 EDR终端威胁检测与响应

未来智安EDR安全体系围绕攻击告警检测发现、告警治理，利用att&ck、关联分析等技术进行告警研判和回溯完整攻击事件。基于Att&ck模型，围绕入口类、操作类、属性类设计数据采集对象包括如操作系统、软件、硬件、进程、进程行为等细粒度的数据采集和入侵监控。

立即咨询

首页 > 产品中心 > 业务安全 > 未来智安 EDR终端威胁检测与响应

端点安全挑战

恶意软件影响面广

2017年5月12日起，全球范围内爆发的基于Windows网络共享协议进行攻击传播的蠕虫恶意代码，不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招，被勒索支付高额赎金才能解密恢复文件……

终端多集中管理难

网络安全本质是信息安全，从一个侧面看信息安全就是风险管理，风险管理最核心是资产、威胁和脆弱性这三要素，这三要素都是以资产管理为基础。目前，资产的管理的粒度太粗，在实际的安全运维中存在极大的短板，单一的功能并不能适应企业对资产管理的需求。如何做好资产管理是当前安全运维工作所面临的一大难题......

高级威胁检测挑战

高级威胁攻击事件持续增长，高级持续性威胁更倾向于利用定制化攻击武器如恶意变种病毒，更快速绕过传统的基于静态特征检测的终端安全防护体系，而更多隔离网场景下依赖云查离线检测体系失效，传统的静态特征防护已无法应对当前安全形势.....

运维处置效率低下

在网络安全形势日趋严峻当下，特别是攻击进入实战化阶段，攻击方式层现有组织有体系的特点，能够在第一时间完成响应处置对网络攻击防御显得尤为重要。目前市面上大部分的网络安全产品都依靠人工进行告警分析、调查、核实并利用其它安全设备进行响应如防火墙断网等等操作，需要在不同安全设备间来回跳转、切换，极大的增加操作的复杂度和操作时间长，不及时处置等原因造成更大的安全后果.....

EDR端点解决方案

EDR端点安全技术路线 icon

端点网络安全原则

EDR端点入侵检测架构思路 icon

基于Att&ck模型，围绕入口类、操作类、属性类设计数据采集对象包括如操作系统、软件、硬件、进程、进程行为等细粒度的数据采集和入侵监控。

EDR产品体系

EDR架构特点和优势 icon

EDR Agent对系统cpu使用率在百分5以内。 EDR Agent对系统内存使用率在系统200MB以内。 EDR Agent对磁盘的使用率在500MB以内。 EDR Agent对网络占用率在0.5MB以内。当操作系统的CPU和内存的总使用量过大或Agent自身进程占用资源过多时，Agent会自动重启主进程释放资源，确保业务系统正常运行。

一体的服务器安全监控和威胁运营

主机安全可运营可监控：通过终端、控制台、分析中心打造一体的主机安全运营平台，实现主机资产可视、威胁可视、威胁可运营的全面平台一体化：终端日志监控和事件采集，平台数据一体化：结合云端大数据和威胁情报，有效感知主机运行的安全状态。

透明无感知的终端采集，轻量级业务无损代理

系统资源占用率低，当操作系统的CPU和内存的总使用量过大或Agent自身进程占用资源过多时，Agent会自动重启主进程释放资源，确保业务系统正常运行。

核心功能

识别
风险发现

漏洞发现...

合规基线

端点资产清点

进程事件

文件行为

内核模块

已安装软件

web服务......

防护
扫描防护

端口防护

爆破防护

进程安全防护

访问控制

后门防护

文件上传防护

关键目录防护

黑白名单防护

网络访问防护......

检测
暴力破解

异常登录

反弹shell

本地提权

Web后门

Web命令执行

webshell

文件完整性

异常进程

基于黑白名单检测......

响应
查杀进程

端点取证

访问控制

攻击溯源

进程隔离

病毒查杀

病毒检测

基线检查

系统联动

执行任务......

资产清点

风险发现-产品特点

资产自动关联，全面风险脆弱性发现，速度快、便捷性高，误报率低。

发现

基于资产发现风险，理清安全边界。

扫描

定期或持续监控&扫描，发现潜在安全风险。

分析

结合整体端点资产，漏洞、安全事件等全面研判安全状态。

管理

风险管理，可以工单方式派发，跟踪风险运维情况。

修复

提供风险、漏洞修复建议。

通报

汇总和通报安全风险，分析和提高安全运维能力。

入侵检测-产品特点

全
支持全方位攻击监控&检测，支持多平台、多系统全面攻击检测

未
有别与传统静态的攻击检测， EDR基于行为的入侵检测技术

联
EDR攻击检测可自动关联资产信息，增强关联分析能力

快
支持可视化多位分析，支持威胁狩猎，多维度溯源能力，响应处置效率高

合规基线-产品特点

可满足等保、CIS，基线检测模版可配置。可灵活执行单次检测，也作为定期任务执行。 API接口可开放，可灵活调度。

应对合规场景

支持等保、CIS等多个标准，覆盖各类系统及应用。控制台一键触发检测，基线检查结果可视化呈现。结合端点资产清点，能自动识别出服务器需检查的基线。

背景

资产越来越多，带来的是策略的配置变得更加复杂，很容易出现因误配或配置策略所带来的漏洞。细化配置要求，规范设备资产上线和日常运行的安全配置核查流程，以及如何实现自动化的基线管理等问题已经成为企业亟需解决的难题。

挑战

如何快速有效的在服务器上实现基线配置管理，如何快速有效识别与安全规范不相符的安全配置，如何更好平衡配置合规和运维的灵活性。

方案

EDR合规基线构建了由国内信息安全等级保护要求和CIS组成的基准要求。结合这些基线，帮助企业快速进行内部风险自测，发现问题并及时修复，以满足监管部门要求的安全条件。

价值

节省时间成本，让检查工作变得简单。自定义基线配置，轻松适应网络变化。减少失误风险，提高安全配置检查效率。

资产安全感知

背景网络安全本质是信息安全，从一个侧面看信息安全就是风险管理，风险管理最核心是资产、威胁和脆弱性这三要素，这三要素都是以资产管理为基础，目前，资产的管理的粒度太粗，无法进行有效的资产统计和感知，给网络带来极大的安全隐患。挑战内网资产统计不全，粒度太粗，存在大量未知设备无法实时了解主机或资产信息更新变化。服务器资产数量庞大，业务系统繁杂，难以清点资产查询统计非常困难，无法精准了解查询结果。方案EDR资产清点模块对资产进行统一、全面的管控。利用EDR上报主机资产及流量侧的资产发现及人工添加资产等多渠道进行资产的管理，同时利用EDR进行主机资产的自动梳理。价值从主机侧的内部账户、进程、网络连接、Web站点、Web应用、数据库、环境变量等多种类型资产进行细粒度的管理和监控，支持自定义资产定义并自动识别出发生变更的业务资产的安全风险，随时跟踪资产风险，争强企业侧资产安全感知能力。

实时入侵检测

背景随着网络攻击成体系化、攻击手法的不断变化，网络攻击攻击越来越频繁，给企业客户带来非常巨大的损失。因此急需在服务器上部署基于行为的威胁检测和响应系统，能够实时监控主机安全状况、发现主机风险、能快速的进行检测和响应。挑战高级威胁攻击事件持续增长，高级持续性威胁更倾向于利用定制化攻击武器如恶意变种病毒，更快速绕过传统的基于静态特征检测的终端安全防护体系，传统的静态特征防护已无法应对当前安全形势。方案EDR威胁检测与响应系统能提供针对服务器的实时入侵检测解决方案，提供有效的入侵检测能力，能实时准确地感知和发现入侵事件，发现定位失陷主机，并提供对入侵事件的有效响应手段，轻量级Agent对业务系统无影响价值基于行为检测有效发现未知威胁轻量级Agent，对业务系统无影响快速定位失陷主机，有效取证和攻击溯源。

典型部署场景

EDR Agent 采用软件化部署到服务器或PC侧。通过Agent注册到EDR控制台，并可将采集的主机安全日志、告警信息等上报到EDR控制台进行管理和分析及对应的终端管控操作。

产品推荐查看更多>>

指掌易移动办公业务安全解决方案

指掌易移动办公业务安全解决方案，专业且闭环的方案思路，提供端管云一体化的闭环安全解决方案。以一体化闭环的方案思路帮助企业解决移动办公场景下端、管、云方面的安全问题。整体方案会帮助企业在端上建立安全工作空间保护业务数据在移动端上的安全性，在管道上建立应用级安全传输通道保护数据传输安全，在云端建立安全网关提供接入安全保障。

端管云一体化

设备威胁感知

应用威胁感知

网络威胁感知

立即咨询查看详情

运维审计

运维审计独有的行为特征库，智能识别图像，分析动作；多维度立体审计，定位快速、准确；独有翻译功能,让非IT专业领导者简单易用; 移动审计,随时掌握动态

高效稳定

使用便捷

立即咨询查看详情

指掌易银行业移动安全解决方案

指掌易银行业移动安全解决方案，基于应用的移动应用安全网关，为了保障业务通信安全，需要通过加密传输隧道实现业务数据传输：可在应用级、按需启用安全接入隧道，仅允许指定的工作应用接入内网，通过指掌易提供的应用级安全接入隧道，连接到银行内网。也可支持与第三方VPN服务集成。