赤豹终端安全检测与响应系统EDR

基于终端安全大数据进行未知威胁和异常行为分析,减少终端安全威胁发现和响应时间, 实现终端安全事件的全面采集辅助构建企业终端安全态势感知中心,能够应对多项监管合规 要求。

产品概述

主要功能
功能特点
企业传统架构面临安全挑战

赤豹EDR解决方案

产品概述

赤豹终端安全检测与响应系统(以下简称“EDR”),基于大数据架构,通过探针全网终端行为进行全面监控与细粒化的数据采集,通过机器学习、大数据关联分析、威胁情报、异常行为分析等关键技术进行威胁狩猎,可以提升用户针对已知、未知威胁的检测、分析、处置和安全感知能力。
 


产品功能




 
资产发现 具有强大的主机资产发现与识别能力,通过轻巧的安全探针,快速获取主机的软硬件资产信息,包括CPU、内存、硬盘、网卡、操作系统、网络配置、进程、服务、启动项、计划任务、安装软件等内容,并能通过已安装探针的主机自动发现网内未注册的主机信息,帮助用户掌握全网主机数量,以及已受控和未受控的终端范围,梳理终端安全管理边界。
安全基线 提供一键获知全网主机安全基线检测详情,支持身份鉴别策略组、访问控制策略组、安全审计组策略、入侵防范策略组、恶意代码防范策略等检查内容,检查模板支持用户自定义。
持续检测 提供对终端行为的全面监控与数据采集,包括终端进程、驱动、模块、IP访问、DNS访问、文件操作、外设操作、打印操作、注册表变更、账户变更、操作系统日志等。
自动化响应: 能够自动处置高级威胁在杀伤链中不同阶段需要做出的对应的响应动作,例如结束进程、隔离文件、补丁更新等,提供多种威胁响应的方式,包括隔离文件、结束进程、主机微隔离等,快速止损。
违规外联 提供WIFI异常链路检测、互联网违规外联检测、专网违规外联检测等功能
安全可视化 构建可视化的安全管理平台,安全态势感知,威胁可视化处置。
外设管控 提供USB移动存储、光驱、手机/平板等外设的访问控制功能。
产品联动 支持与各种第三方态势感知、解决方案(SIEM、综合日志)实现联动。
产品亮点

 


Ø 精准数据采集:
通过内核级别数据采集,准确关联到威胁源;采集数据丰富,覆盖Windows和Linux终端行为20大类60多个子项。
Ø 大数据关联分析:
基于终端强大的信息采集能力,依托终端安全大数据平台,以自定义进程唯一ID为主线,对攻击者完整攻击行为所采用的攻击步骤进行关联分析,根据攻击事件发生的时间序列,将该次完整的攻击步骤以图形的形式展现,实现攻击场景的重构。通过攻击场景重构的关联规则以及知识的形式化表述,将庞杂、无序的安全数据流转换为结构化、易于理解的攻击场景,将反映攻击过程和意图的场景图呈现出来,从而发现攻击者的攻击策略和目的,甚至推测下一步可能的攻击行为,以便于管理员做出及时有效的应急响应。
Ø 人工智能引擎Protoss™
Protoss™人工智能引擎将人工智能、算法和机器学习应用于恶意代码的预测、鉴定和阻止,代表了中国下一代自主人工智能杀毒引擎的技术水平,拥有五大技术特性:
Ø 优秀的检测能力,
检测率高,误报率低;
Ø 检测速度快
在多核环境下最高能够达到传统引擎的几十倍扫描速度;
Ø 资源占用小
引擎体积小于20M,运行时内存占用小;
Ø 格式支持多
支持PE/OFFICE/PDF/Webshell等常见格式。
Ø 全平台支持
支持Windows、Linux、国产操作系统各类平台,支持X86、ARM等多种硬件架构。


 

客户价值

Ø 实现终端安全事件的全面采集和集中存储;
Ø 基于终端安全大数据进行未知威胁和异常行为分析
Ø 减少终端安全威胁发现和响应时间;
Ø 能够帮助安全人员快速进行安全事件溯源取证;
Ø 辅助构建企业终端安全态势感知中心;
Ø 能够应对多项监管合规要求;

 



 

应用场景

(1)勒索软件

近几年来频繁爆发的勒索事件引起了各行各业的普遍关注,从钓鱼投放到利用漏洞传播,变种花样繁多,危害面积大。再一次充分说明了AV防护的局限性和社工攻击的防不胜防。基于行为监测和响应技术的系统,给予企事业单位最可靠的防勒索解决方案。系统内含防勒索功能,用户可以自主选择需要保护的文件类型和目录,这些文件将不再受到已知的或未知的勒索攻击的困扰。
 

(2)数据泄露

随着信息化发展,数据的价值不断地得到认识,网络攻击的目标从涉及国家安全的涉密数据向商业秘密和个人隐私数据等更多类型发展。一旦发生数据泄露事件,将导致国家安全风险、企业财务和信誉损失以及个人伤害。系统能够保护您宝贵的数据财富不被非法访问。

(3)邮件钓鱼

根据美国国家网络安全中心(NCSC)的统计,91%的数据窃取事件是通过“钓鱼攻击”开始的。系统能够及时发现并拦截邮件钓鱼,避免后续的危害,为企事业单位最大的安全风险提供了一层更有力的保障。

(4)木马后门

木马拥有典型的远程控制和数据窃取行为,无论其如何在系统中藏匿,或如何通过代码混淆技术躲避特征检查,系统都能够发现并阻止其恶意行为。

(5)Web突破

随着操作系统自身安全性的不断提高,寻找和利用应用层漏洞成为新的攻击趋势。Web是最大的应用层攻击面,互联网上大量的Web服务器成了攻击者最喜欢光顾的场所。系统系统Agent部署在Web服务器上,拦截透过防火墙和WAF到达Web服务器的攻击,防止恶意代码上传、恶意篡改和非法访问。不仅保护了Web服务器自身的安全,同时防止通过Web服务器传播恶意代码和实现跳板攻击。

(6)漏洞利用

漏洞利用是高级攻击的典型特征,是黑客的“杀手锏”武器。系统系统能够监测发现漏洞利用提权,及时阻止漏洞利用之后的恶意行为,对已知漏洞和未知漏洞一样有效,解决了“补丁”不能解决的问题。

(7)内网渗透

边界防护和AV都不能检测发现内网渗透行为,是传统防御体系的空白点,系统系统部署在端点,全面监测防御非法的内网访问,阻止网络攻击者突破第一点之后利用“据点”进行横向移动。

在线咨询
拨打 010-8251-1818