icon现状和问题icon
如何发现未知威胁?

网络威胁越来越严重,各类安全攻击手段层出不穷,如0day、远控木马、社会工程攻击等。基于特征的检测手段束手无策,对于用户而言,任何没有告警的威胁都是未知威胁。 日常运维或护网发现不到的威胁都是未知威胁。

告警验证和分析效率低?

当监控设备产生告警后,无法快速的验证这个告警是真是假?主机是否已经被攻陷。除了这个告警以外,黑客还在这台机器上干了什么,有没有窃取凭据?攻击者通常会清理自己的痕迹。 登陆不同主机验证告警效率低,黑客清理痕迹难分析。

如何实现全面内网溯源?

确认真实告警后,但是不知道从哪来的?只好先删除了、关机。 调查来龙去脉非常困难,要找很多人,排查很多设备日志,最后大概率还是没搞清楚只好算了。溯源是一个系统工程,跨部门,难以有效溯源,下线主机无法根本上解决问题。

icon产品概述icon

青藤猎鹰·威胁狩猎平台基于ATT&CK框架,帮助用户解决安全数据汇集、数据挖掘、事件回溯、安全能力整合等各类问题。该产品提供了上百类ATT&CK攻击场景,用户可直接对数据进行深度挖掘,此外还可以利用青藤自研QSL语言追踪异常活动,及时发现潜在威胁。对于拥有成熟安全运营中心的组织来说,威胁狩猎是一项必不可少的技能。

icon威胁狩猎平台总体架构icon

青藤威胁狩猎平台(THP)通过威胁场景驱动数据,实现主机关键的细粒度数据的统一管理,把安全狩猎的思想快速的落地并进行验证。THP可以让发现高级威胁变的容易,让研判溯源变的简单,让工作效率的得到提升,全面保障客户业务的安全。

icon平台在安全运营中心的定位 icon

SIEM:安全监控-检测监控已知威胁。 Threat Hunting:主动分析安全威胁,事件调查,形成安全事件闭环管理的重要节点。 SOAR:安全编排和响应自动化,从而解放用户的生产力。 效果:建立高效协同的信息安全运营工作机制,形成安全事件监控、分析、响应处置的闭环管理,充分发挥防护体系的综合效力。

icon产品功能icon
基于ATT&CK框架的攻击事件检测
通过深入研究ATT&CK框架的所有攻击战术与攻击技术,提供百余类攻击手段的检测方法,并能够通过综合查询分析,对各类服务器事件数据进行深度挖掘,合并各维度数据,及时检测安全威胁。
自研的青藤搜索语言(QSL)查询分析
QSL查询引擎是青藤自研的一个类SQL查询引擎,所有数据可以使用统一的方式进行检索,支持SQL查询的各类常见查询语法,支持数据联合查询,提供复合统计分析能力和连续数据分析能力。
icon产品亮点icon
异构数据统一分析
深度集成青藤万相产品,可连通数十类原始数据,覆盖资产、风险、入侵、日志、任务等。用户还可自行连接其它产品的原始数据源,进行联合分析,关联查询,解决了单一产品能力不足的问题。
基于用户实体行为分析(UEBA)的机器学习引擎
内置多种实用分析函数,进行异常检测、聚类和关联分析,以及异常登录检测模型,可以快速有效地发现异常行为。
iconTHP四大应用场景icon

在日常运营中,极大提升检测能力、研判溯源、响应的效率

威胁建模
基于ATT&CK框架技术行为的深度理解,专家建立相应的Att&ck模型,目前平台已内置近百种模型。基于用户的环境,总结和提炼一些常用的攻击行为特征,并结合用户的核心资产信息,THP迅速构建精确的威胁狩猎模型。
研判确认
当入侵告警发生的时候,THP能够快速确认告警是否真实有效,并且弄清楚这台机器上还发生了什么事情。比如,攻击者正在尝试收集信息、上传恶意文件,包括凭据是否被窃取等。
 
 
内网溯源
当某台服务器产生告警后,并已确认该服务器已被攻陷,此时攻击者可能已经拿到了多台主机的控制权。THP可以迅速溯源攻击者掌握了哪些机器,还原整个攻击链路,把攻击者踢出内网。
调查取证
针对数据日常取证、违规操作调查、内部账号共享等。平台从时间、行为的维度分析事件的前因后果,快速定位异常违规行为和数据审计取证。减少人工操作并降低人为登录主机取证的操作风险,提升企业IT智能运营水平。
icon威胁建模场景icon

场景描述:首先,基于ATT&CK框架技术行为的深度理解,专家建立相应的模型,目前平台已内置近百种狩猎模型。其次,基于用户的环境,总结和提炼一些常用的攻击行为特征模型,迅速构建精确的狩猎模型。支持网络安全对抗全景知识库模型; 内置ATT&CK模型150条,46.6%的覆盖率; 从黑客攻击视角进行威胁建模并持续更新; 评估安全防护能力,完善检测点及数据源。 核心价值:通过平台内置战技术模型、日常知识模型固化和积累,持续提升整体安全检测和发现能力。 总结:持续提升检测能力,固化知识模型。

icon研判溯源场景icon

核心价值:确认告警的真假,还原整个攻击链路,从根本上解决安全问题。

icon调查取证场景icon

场景描述:平台从时间、行为的维度分析事件的前因后果,快速定位异常违规行为,减少人工操作并降低人为登录主机取证的操作风险。场景:数据日常取证、违规操作调查、内部账号共享、关键业务重启监控等。 引擎:平台采用了自研日志搜索分析引擎,实现各种灵活的数据查询、分析功能,满足各种事件分析需求。 数据:支持主机全量的细粒度数据,后续数据进行持续的更新。 核心价值:灵活高效,快速定位内部违规行为,实现内网的风险行为监控。

icon方案配套服务icon

威胁狩猎服务:利用通过“1+3+1”配套运营服务体系,构建青藤威胁狩猎平台与客户侧安全运营服务的综合支撑体系,让THP价值最大化,让客户更有效的开展网络安全业务管理,保障IT业务顺畅运行。

icon经典案例icon

某款安全产品发出报警,指示某主机上的Apache ActiveMQ存在异常,需要响应确认。通过青藤猎鹰•威胁狩猎平台,只需要输入希望查找的应用程序即可,大大 提高了安全响应人员的响应速度,缩短了响应时间。

产品推荐 查看更多>>
    六方云 工业脆弱性漏洞扫描与管理系统

    六方云脆弱性扫描与管理系统LinSec-S能够全面、精准地检测信息系统中存在的各种脆弱性问题,包括各种安全漏洞、安全配置问题、不合规行为等,在信息系统受到危害之前为管理员提供专业、有效的漏洞分析和修补建议。

    丰富的功能模块

    工控系统漏洞

    可信的国产化平台

    领先的知识库

    腾讯云游戏业务安全解决方案

    腾讯云游戏业务安全解决方案依托腾讯海量黑产数据提供的行为样本,同时识别高危账户之间的关联关系,针对不同的用户风险等级给出采用不同的策略处理建议。腾讯云内容安全是基于腾讯海量数据支撑及腾讯深度学习识别技术,可高效准确地识别文字、图片和视频等多媒体的违规内容,帮助游戏客户降低色情、暴恐、涉政、广告等违规风险。

    依托腾讯海量黑产数据提供的行为样本,给出不同的策略处理建议

    基于腾讯海量数据支撑及腾讯深度学习识别技术,可高效准确地识别违规内容

    帮助游戏客户降低色情、暴恐、涉政、广告等违规风险

    未来智安 NDR全流量威胁检测响应系统

    未来智安NDR流量威胁检测系统,基于上万个规则数十种行为建模和机器学习来发现流量中异常行为和攻击,通过检测异常并将其减少为关键警报以增强威胁检测。同时,可实现有效 的威胁溯源和全面的响应处置能力。

    功能完备

    安全可靠