终端安全响应系统(EDR)是传统终端安全产品在高级威胁检测和响应方面的扩展和补充,通过威胁情报、攻防对抗、机器学习等方式,从主机、网络、用户、文件等维度来评估企业网络中存在的未知风险,以行为引擎为核心,利用威胁情报,缩短威胁从发现到处置的时间,有效降低业务损失,增加可见性,提升整体安全能力。
核心功能
1.提供对端点行为的全面监控与数据采集,包括终端进程、IP访问、DNS访问、IM传输、邮件传输、U盘传输、浏览器下载、文件操作、注册表变更、账户变更等。
2.针对不同阶段的攻击路径,提供深度自动化异常检测能力,包括对powershell、wmic等常被利用的系统的进程检测以及常用的渗透工具检测。
3.提供高可视化溯源分析展示,对可疑进程行为的攻击链路进行完整溯源,包括所有的危害动作及影响面。
4.支持威胁情报IOC导入,提供IOC检测告警能力,对利用漏洞攻击行为提供关联CVE信息,并关联受影响终端情况。
5.支持根据自身业务场景需求自行创建自定义异常行为检测条件来触发告警。
6.支持威胁追踪,迹象数据搜索,例如对IM文件传输、邮件日志、DNS访问审计、证书、操作系统信息、终端进程信息、IP访问审计、U盘记录、驱动信息、安装的软件列表等迹象数据的搜索。
7.管理平台界面可对十万级以上客户端进行统一集中管理,包括但不限于对所有终端配置策略、威胁事件管理、执行处置操作等。
产品特点
1.全面的终端行为数据采集
采集终端安全行为数据的类别丰富,全面覆盖高级威胁在终端上的蛛丝马迹。
2.强大的数据分析能力
高性能的大数据分析平台,可对海量终端数据集进行实时检索与分析,帮助客户进行终端数据的集中化管理。
3.异常行为的智能检测
威胁检测告警引擎能够智能检测终端异常行为,并根据威胁行为模型对检测到的感知行为产生告警,为进一步分析提供决策依据。
4.威胁情报的实时融合
实时接收云端的大数据威胁情报,并对企业内部的日志数据进行准确的检索,从而快速定位威胁风险,进行安全排查。
5.多维度的调查分析平台
分析平台提供多维度的调查能力,可以基于安全数据内容与背景进行快速解析,帮助客户识别、调查隐藏的杀伤链,还原事件真相,并进行可视化的溯源分析展示。对可疑进程行为攻击链路进行完整溯源,包括所有的危害动作及影响面。
6.丰富的响应和遏制手段
针对于高级威胁事件提供快速的响应手段,并可整合终端安全管理系统,针对不同类型的风险进行对应的威胁遏制和安全修复。适用场景
1.通报内容排查
基于通报的内容和线索,使用威胁追踪能力快速定位问题终端和使用人,通过全面的终端安全大数据进行问题的回溯排查,梳理威胁链条,定位全网终端风险点,进行快速处理,提供相关报告。
2.威胁情报告警分析
控制中心接收到最新的云端威胁情报,基于情报中某IOC和终端存储安全数据进行匹配命中,产生告警,基于告警信息进行进程链回溯,明确威胁样本并进行快速处置。同时对于全网终端进行恶意样本追踪,定位第一感染源,进行风险分析和处理。
3.自定义规则告警
基于内网终端使用特殊性,自定义终端行为规则,设置异常行为检测条件。当某终端匹配异常行为后触发告警,可以快速定位到具体终端,对异常行为进行溯源分析,并快速响应处置。部署方式
支持单级和多级部署模式。
控制中心部署在服务器端,提供系统管理和数据应用核心能力,而且采用B/S架构,让管理员可以随时随地通过浏览器进行访问;客户端部署在需要保护的终端或服务器上,实现数据采集模块、数据上报模块、响应处置引擎等功能。
