icon 产品体系icon

天眼云镜主机安全管理平台,通过对主机信息和行为进行持续监控和分析,快速精准地发现安全威胁和入侵事件,并提供灵活高效的问题解决能力,将自适应安全理念真正落地,为用户提供下一代安全检测和响应能力。天眼云镜采用模块化的组织形式,实现了各功能的智能集成和协同联动。“资产清点”可主动识别系统内部资产情况,并与风险和入侵事件自动关联,提供灵活高效的回溯能力;“风险发现”可主动、精准发现系统中存在的安全风险,提供持续的风险监测和分析能力;“入侵检测”可实时发现入侵事件,提供快速防御和响应能力;“合规基线”构建了由国内信息安全等级保护要求和 CIS(Center for InternetSecurity)组成的基准要求,帮助用户快速进行企业内部风险自测,发现问题并及时修复,以满足监管部门要求的安全条件。“安全日志”,从安全角度引导客户对日志进行查询与分析,发现黑客入侵的蛛丝马迹,还原攻击现场。

同时,运行在底层的天眼云镜核心平台架构,是下一代主机安全能力引擎。其插件化的构建方式,不仅具备灵活的扩展能力,同时能实现各功能模块之间无缝联动。其分布式的部署方式,能够应对客户大量任务下发和大型攻击来临的海量数据分析处理,并始终保持稳固的性能。

icon核心架构icon

核心平台架构,主要由 Agent,Server,Web 三部分构成,为产品服务ᨀ供基础的、灵活的、稳固的核心能力支持。

1. Agent—主机探针 Agent

只需一条命令就能在主机上完成安装,且自动适配各种物理机、虚拟机和云环境。运行稳定、消耗低,能够持续收集主机进程、端口、账号、应用配置等信息,并实时监控进程、网络连接等行为,还能与 Server 端通信,执行其下发的任务,主动发现主机问题。

2. Server—安全引擎
Server 作为核心平台的信息处理中枢,支持横向扩展分布式部署,能够持续分析检测从各个 Agent 上接收到的信息和行为并进行保存,可从各个维度的信息中发现漏洞、弱密码等安全风险和 Webshell 写入行为、异常登录行为、异常网络连接行为、异常命令调用行为等异常行为,从而实现对入侵行为实时预警。
3. Web—控制中心
以 Web 控制台的形式和用户交互,清晰展示各项安全检测和分析的结果,并对重大威胁进行实时告警,帮助用户更好更快地处理问题,ᨀ供集中管理的安全工具,方便用户进行系统配置和管理、安全响应等相关操作。
iconAgent 运行保障icon
安全

对Agent进行加壳防护,防止被篡改。采用加密传输与服务端通信,保证数据安全。

稳定

通过50000+台服务器的运行实践,稳定性高达99.998%。2分钟内离线自动重启机制,保障系统始终处于监测状态。

消耗低

正常的系统负载情况下,CPU占用率<1%,内存占用<40M,消耗极低。在系统负载过高时,Agent会主动降级运行,严格限制对系统资源的占用,确保业务系统正常运行。

icon资产清点icon

越来越多的公司在数字化转型过程中采用混合数据中心架构,包括本地环境、虚拟环境、云环境等,同时随着业务规模与生产环境变化,企业配套 IT 设施也在随时发生改变。这些无疑对企业体系化安全建设提出严峻挑战。对资产“看得全,理得清,查得到”,已经成为企业在日常安全建设中首先需要解决的问题。同时在发生安全事件时,全面及时的资产数据支持,也将大大缩短排查问题的时间周期,减少企业损失。天眼云镜资产清点(Asset Inventory),致力于帮助用户从安全角度自动化构建细粒度资产信息,支持对业务层资产精准识别和动态感知,让保护对象清晰可见。使用 Agent-Server 架构,提供 10 余类主机关键资产清点,200 余类业务应用自动识别,并拥有良好的扩展能力。

1. 自动化构建资产信息,资产清晰可见

通过安装 Agent,可在 15 秒内,从正在运行的环境中,反向自动化构建主机业务资产结构,上报中央管控平台,集中统一管理。天眼云镜独特的主机发现系统,随时发现网络环境内没有纳入安全保护的主机,确保安全覆盖无死角。此外,对Web资产与数据库资产等高价值高敏感业务资产,进行了针对性资产建模,能够与风险发现和入侵检测功能配套提供安全保护。

2. 资产变化实时通知,安全不再落后于业务

生产环境下,业务服务器需要随着业务变化随时扩容或减配,业务资产也随之相应变化。传统安全方案无法完全匹配业务变化,其对资产实施保护的时间往往滞后甚至遗漏,这就给黑客组织可乘之机。平台在清点资产后,将保持对资产持续监控,保证监控数据与实际业务数据一致,对一些需要特殊关注的敏感资产(如:账号、进程、端口、数据库、Web 站点等)发生变化,将提供实时或定时通知,客户安全团队可进行针对性处理,实现资产动态保护。

3. 灵活的检索方式,快速定位关键

在企业安全检查时,通常需要提供针对性的信息,但面对庞大分散的主机数据,信息梳理效率极低。在发生安全事件时,通常需要获得多角度、跨时间段的数据综合分析,获取这类数据需要横跨多个机构、多个系统,且数据结构杂乱无章,分析难度极大。天眼云镜资产清点参考大量国外先进产品经验,结合通用安全检查规范与安全事件的数据需求,形成细粒度资产清点体系,利用多维度的视图,引导用户轻松获得需要的资产信息。同时,借助多角度的搜索工具,帮助用户快速定位关键资产信息。

icon特色功能icon

1. 主机发现

通过设置检查规则,系统自动检查已安装探针主机,所在网络空间未纳入安全管理的主机,自动排除普通网络设备。针对不同网络状况,提供多种探查方法,包括“ARP 缓存分析”、“Ping 扫描”、“Nmap 扫描”、“连接记录分析”等,客户可基于实际业务环境,灵活选择对应功能发现主机,减少无意义网络资源消耗,保证探测与被探测主机正常运转。

2. 应用清点

自动化清点进程、端口、账号、中间件、数据库、大数据组件、Web 应用、Web框架、Web 站点等十余类安全资产,覆盖通用资产。根据每个服务器业务特点,系统针对性识别应用,目前可识别业务应用已覆盖 200 余类,例如 Nginx、Apache、JBoss、Mysql、Memcached、Redis、Hbase 等。每个应用在风险发现与入侵检测中,均提供对应安全策略保护。未来版本中,将允许自定义清点对象,可根据业务需要,自助清点数据。针对不同清点对象均采用单独模块管理,模块间保持一定联动性,确保同时运行的清点单元最小化,瞬时性能消耗最低。

3. 资产快速检索

对于每类业务资产,系统提供“主机视角”和“资产视角”两种通用维度,聚合展示数据,每个数据表格列均允许搜索与排序。每个表格额外提供大量可选列(不常用的数据列被默认隐藏),客户可根据需求灵活显示的数据,定义自己的表格显示。在复杂搜索场景下,例如横跨多种资产联合搜索,系统已提供关键资产(主机、账号、进程等)全系统关联,未来还将提供全局搜索工具。

4. 资产面板

在获得资产信息后,将结合业务情况,形成“概览视图”与“分级视图”,展示企业整体资产状况。“概览视图”使用图形化的方式展示企业的关键资产状况,帮助用户直观的了解资产。“分级视图”通过树状结构逐层展示资产信息,并显示关键资产的数值,引导用户找到需要的信息。针对每种特定业务资产,产品提供“分析板”功能,多维度剖析单一资产,详细分析内部情况。此外资产面板功能还提供一些从安全角度出发的特殊资产视角,引导客户从安全维度发现一些问题。

5. 报表导出与API 支持

所有数据均提供报表导出功能,可任意选择导出的数据列与数据行,形成自定义报表。所有资产均提供基础 API,可结合自身业务情况,获得清点的数据,进行二次开发。

icon产品特点icon
1. 从安全角度出发,重新定义资产
传统意义上的资产,被定义为服务器和 IT 设备,仅限于从物理层清点资产,但天眼云镜资产清点从安全角度出发,结合通用安全检查规范与安全事件数据需求,构建业务型资产对象(包括 Web 服务、Web 站点、数据库、大数据组件等),更加契合基于安全对资产的实际需求。这种转变,正是基于天眼云镜多年积淀的自适应安全理念,从“安全角度重新定义资产”。
2. 细粒度构建系统内部资产,有效弥补 CMDB 缺失信息
传统运维平台的CMDB系统,主要用于存储和管理IT设备的各种配置属性,但对于与业务安全相关系统内部资产,无法有效管理。平台可清点10余类主机关键资产,识别200余类常见业务应用,并支持与CMDB系统关联,有效补充缺失的数据,提高管理者对整体资产把控能力。
 
 
3.为风险发现和入侵检测,提供资产关联能力
资产清点作为数据支撑平台,已与天眼云镜主机安全管理平台中的风险发现和入侵检测系统全面关联,实现一键查看,如漏洞风险关联对应的软件应用状态,账号风险关联到对应的系统账号,反弹Shell关联对应的端口进程等。用户也可以使用资产API系统,将相关数据导入风险发现或入侵检测等其他系统,获得更为准确的信息。
 
4.支持不同业务系统,复杂业务环境主机的统一平台管控
支持绝大部分主流Linux/Windows系统,支持本地环境、虚拟环境、云环境等混合业务架构环境的主机,平台采用集中式管理模式,统一平台管控。同时提供各种结合业务的资产管理功能,用户可以基于公司自身的组织架构,创建多级业务组,将主机按资产等级、管理部门、负责人等灵活分组管理。
icon风险发现icon

事实证明,90%的攻击事件都利用了未修补的漏洞,且攻击者的手段不断变化,网络安全状况也在随着安全漏洞的增加变得日益严峻。而传统的漏洞扫描器仅为按季度或按年的周期性扫描,在未进行检测期间,新的漏洞很容易被黑客利用入侵。因此,企业需要能够实现风险持续性地监测与分析产品,能够化被动为主动,深入发现内部暴露的问题和风险,持续有效地对风险进行处理,从而提高攻击门槛,缩减修复窗口期。风险发现(Vulnerability Discover)致力于帮助用户精准发现内部风险,帮助安全团队快速定位问题并有效解决安全风险,并提供详细的资产信息、风险信息以供分析和响应。

1.提高攻击门槛,有效减少90%被攻击面

在资产细粒度清点的基础上,持续、全面透彻地发现潜在风险及安全薄弱点。根据多维度的风险分析和精确到命令行的处理建议,帮助用户及时处理重要风险,限制黑客接触系统、发现漏洞和执行恶意代码,从而大大提高系统的攻击门槛。

2.企业风险可视化,安全价值清晰可衡量

持续性监测所有主机的安全状况,图形化展现企业风险场景。为安全决策者动态展示企业安全指标变化、安全走势分析,使安全状况的改进清晰可衡量。为安全运维人员实时展示风险分析结果和风险处理进度,提供专业可视化的风险分析报告,使安全管理人员的工作价值得到可视化呈现。

3.持续性监控分析,及时发现最重要的风险

主动、持续性地监控所有主机上的软件漏洞、弱密码、应用风险、资产暴露性风险等,并结合资产的重要程度进行风险分析,准确定位最急需处理的风险,帮助企业快速有效解决潜在威胁。另外,安全团队持续关注国内外最新安全动态及漏洞利用方法,不断推出最新漏洞的检测能力,实现紧急安全事件快速响应。

icon特色功能icon

1.发现未安装的重要补丁

持续更新的补丁库以及Agent 探针式的主动扫描,能及时、精准发现系统需要升级更新的重要补丁,第一时间帮助用户发现潜在可被黑客攻击的危险。深入检测系统中各类应用、内核模块、安装包等各类软件的重要更新补丁,结合系统的业务影响、资产及补丁的重要程度、修复影响情况,智能提供最贴合业务的补丁修复建议。

2.发现应用配置缺陷导致的安全问题

自动识别应用配置缺陷,通过比对攻击链路上的关键攻击路径,发现并处理配置中存在的问题,大大降低可被入侵的风险。如下图中黑客利用Redis应用漏洞的攻击链路,针对黑客的每一步探测,系统均会进行持续性的检测,及时发现并处理了某个配置缺陷后,将有效解决潜在安全隐患、阻断黑客的进一步活动。

3.快速发现系统和应用的新型漏洞

持续关注国内外最新安全动态及漏洞利用方法,不断推出最新漏洞的检测能力,至今已积累37000+的高价值漏洞库,包括系统/应用漏洞、EXP/POC等大量漏洞,覆盖全网90%安全防护。同时,基于Agent的持续监测与分析机制,能迅速与庞大的漏洞库进行比对,精准高效地检测出系统漏洞。

4.智能化的弱口令检测,支持多种应用

精准检测几十种应用弱密码,覆盖企业常用应用如SSH、Tomcat、MySQL、Redis、OpenVPN 等。识别方法以离线破译优先,且识别弱口令后会对没有发生变化的离线弱口令文件哈希入库,如口令未发生新的变更,不再重复对弱口令进行检测。通过分布式的Agent对全量主机的弱口令检测,一方面极大的提高工作效率,另一方面对流量及业务的影响也降到了最低。同时,结合企业特征,系统能智能识别更多组合弱口令,支持用户自定义口令字典以及组合弱口令字典,能有效预防被黑客定向破译的风险。

5.发现服务器上的违规操作

监控由于运维人员的违规操作引起的安全风险。Agent会实时监控用户的操作命令,如修改重要配置文件、下载黑客工具、外传数据、bash 危险命令执行等,并结合黑客的攻击手段,持续检测并暴露这些可能存在威胁的安全隐患,及时通知给相关人员进行处理。

6.发现资产暴露性风险

监测暴露在外的资产风险,如 Web 风险文件、危险进程端口对外、不必要的进程服务、不必要的系统账号等。建立多维分析模型,结合资产重要程度及资产上所有风险进行关联分析,综合分析出最易受攻击的资产。

icon产品特点icon
1. 全面系统脆弱性发现
全方位检测 IT 系统存在的脆弱性,发现信息系统存在的安全补丁、安全漏洞、安全配置问题、应用系统安全漏洞,检查系统存在的弱口令,收集系统不必开放的账号、服务、端口,形成整体安全风险报告,为企业提供无死角的风险状况视图,帮助安全管理人员先于攻击者发现安全问题,及时进行修补。
2. 白盒角度发现风险,比黑盒角度更准
Agent 探针式的扫描机制,建立了自内而外的白盒视角。这种扫描机制能以极低的误报率精准发现软件漏洞,发现更多更全的弱密码账户等,比如能探测到系统内核模块的软件漏洞,能读取MySQL 数据库文件中包括系统账号在内的更多业务账号,这比从主机外部建立扫描的方式更加准确、全面。
 
 
3.比传统扫描器更快、更方便
传统的扫描器每次扫描均需要将远程安全评估系统接入各级网络,部署相对麻烦且不能持续性扫描防护,同时无法与资产数据进行关联,扫描后风险整改困难。而基于Agent由内而外的扫描方式,一条命令即可一键部署,部署成功后即可持续为企业安全保驾护航。
4.资产数据自动关联
在主机环境资产全面清点的基础上进行的持续性风险扫描,能对主机环境资产进行持续性防护。风险扫描后自动关联资产数据,如主机IP、端口、进程、账号、应用、Web站点、主机负责人等资产详细信息。支持在风险发现之后,一键查看对应的资产情况,为风险的下一步处理提供有效信息。
icon入侵检测icon

传统的入侵防护方案能够很好地抵御已知的攻击,但是对于未知和迅速变化的攻击手段则缺乏相应的检测能力。因此,如何实现有效的入侵检测并提供实时的告警和响应手段已经成为安全建设亟需解决的问题。当前的攻击手段千变万化,但是攻击成功后要做的事情却是归一化的。因此,将视角从了解黑客的攻击方式,转化成对内在指标的持续监控和分析,无论多么高级的黑客其攻击行为都会触发内部指标的异常变化,从而被迅速发现并处理。入侵检测提供多锚点的检测能力,能够实时、准确地感知入侵事件,发现失陷主机,并提供对入侵事件的响应手段。

1.多锚点的检测能力,实时发现失陷主机
攻击者通常会同时采用多种手段来攻击用户主机。入侵检测通过多维度的感知网络叠加能力,对攻击路径的每个节点都进行监控,并提供跨平台多系统的支持能力,保证了能实时发现失陷主机,对入侵行为进行告警。
 
 
⒉有效发现未知黑客攻击
传统的入侵检测能力往往依赖于对已知的漏洞和黑客工具的了解,通过基于特征的检测来发现攻击。该方法对于突发的新型漏洞和未知的攻击手段缺乏有效的发现能力,导致许多入侵行为不能被实时发现,从而造成无法挽回的损失。天眼云镜入侵检测结合专家经验,威胁情报、大数据、机器学习等多种分析方法,通过对用户主机环境的实时监控和深度了解,有效发现包括“ODay"在内的各种未知黑客攻击。
 
 
3.对业务系统“零"影响
通常情况下,需要进行安全监控的主机,往往也都承载着用户的核心业务系统,比如数据库、Web后台等。因此,安全监控对主机性能和业务系统的影响是一个非常重要的指标。天眼云镜Agent 以其轻量高效的特性,在保证对用户主机安全监控的前提下,不对其业务系统产生影响,为用户的主机安全提供了高效可靠的保护。
4.结合资产信息,为响应提供最准确的一线信息
发现入侵事件只是入侵检测的第一步,提供入侵的详情信息和响应手段才能真正帮助用户解决问题。在独有的资产管理能力支持下,天眼云镜不只能发现入侵,还能够提供详细的入侵分析和响应手段,从而让用户精准有效地解决问题。
icon特色功能icon

1.暴力破解监控

通过实时监控登录行为,可以及时且自动化地发现黑客使用不同服务尝试暴力破解用户登录密码的攻击行为,并进行自动化封停处理,使得黑客不能进行更多的尝试。

2. Web后门监控

通过自动化地监控关键路径,结合正则库,相似度匹配,沙箱等多种检测方法,实时感知文件变化,从而能够及时发现 Web 后门,并对后门影响部分进行清晰标注。

3.反弹Shell

通过对用户进程行为进行实时监控,结合行为的识别方法,及时发现进程的非法Shell连接操作产生的反弹Shell行为,有效感知“ODay"漏洞利用的行为痕迹,并提供反弹Shell的详细进程树。

4.本地提权监控

通过对用户进程行为进行实时监控,结合行为识别技术,我们能及时发现进程的提权操作并通知用户,并提供提权操作的详细信息。

5.系统后门监控

区别于传统的特征分析,我们通过对进程关联信息的分析,结合模式识别和行为检测,提供了不依赖Hash的自动化系统后门检测方式,能够实现在多系统中进行多维度、高准度、快速度的后门发现,能够对包括Linux下的Rootkit、Bootkit,还有Windows下的可疑进程、可疑线程等多种后门。

icon产品特点icon
1.全方位攻击监控
通过对攻击路径的每个节点进行深入监控,提供了多平台、多系统的全方位、高实时的攻击监控,对进程变化、文件变化、登录登出等事件了如指掌,做到了实时监控“全"方位。
 
⒉.高实时入侵告警
在Agent的深入探针能力支持下,结合loC、大数据、机器学习等多种分析方法,保证了对入侵事件的实时检测,并提供包括短信、邮件等多种方式在内的通知手段,让用户第一时间知道入侵发生,做到了入侵“高"实时。
 
 
3.可视化深度分析
基于对攻击时间和攻击维度的深度分析,整理入侵事件的来龙去脉,以可视化方式完整呈现。让用户对于整体环境的入侵情况和需要处理的入侵事件有清晰的了解,使得入侵分析“深可见底”。
4.多样化处理方式
根据入侵场景不同,提供了包括自动封停、手动隔离、黑/白名单和自定义处理任务等多种处理方式,让用户从根本上解决入侵事件,让处理从此"高效多样”。
产品推荐 查看更多>>
    CAM(集中管控审计平台)

    CAM(集中管控审计平台)国际领先,国内唯一结合"人、流程、系统”; CIO、审计者、管理者、操作者多角色综合性平台; 功能模块化,平滑升级,节省投资; 自动获取KPI指标

    高效稳定

    便捷稳定

    天融信脆弱性扫描与管理系统(WEB扫描)

    天融信脆弱性扫描与管理系统(Web扫描)是北京天融信公司技术研究团队多年深入研究当前各类流行Web攻击手段(如网页挂马攻击、SQL注入漏洞、跨站脚本攻击等)的经验结晶。

    安全可靠

    高效稳定

    移动云网络安全平台

    DDoS防护产品是移动云为企业用户量身打造的一套DDoS纵深防护体系。包含近源抗D防护、DDoS高防和DDoS原生防护多种防护规格,具备全面、高效、灵活的DDOS防护能力,保障用户业务的稳定、安全运行。

    防护面广

    防护力强

    响应迅速

    专业运营