产品简介

Product Introduction

“宸巡”APT攻击检测平台(Detection Platform for APT,DPA),采用首创网络“HDR(High-Definition Recond)”技术与终端EDR技术识别技术,还原资产的基本信息和网络行为,全方位检测、发现APT高级持续性攻击行为,保护用户的重要资产信息和基础数据免遭窃取和破坏。

产品功能

Product function
  • 资产全生命周期基线建立

    首创HDR(High-Definition Recond)概念,改进了Netflow等传统格式提供的基本网络和流量统计数据。HDR丰富了应用程序元数据,能提取出资产的真是网络意图。结合行为识别技术还原资产的网络行为。

  • 全量的云端威胁情报

    本产品使用高精度的威胁情报检测模块,结合基因检测引擎和沙箱检测引擎跟踪还未发起攻击的恶意源地址行为轨迹、准确发现生产环境内部被控主机、精确刻画攻击特征。

  • 深度文件动态行为分析

    系统基于国内首创高效率反-反沙箱技术的高性能文件动态分析能力,在硬件层、软件层、用户活动层进行全方位的系统环境仿真,准确识别通过各种途径传递的文件中含有的未知攻击或而已代码。

  • 可视化关联分析

    APT网络攻击行为往往通过多种途径实施,在不同的地方总会留下相应的痕迹和线索。通过关联分析模块对所有检测结果进行集中关联查询和展示,呈现APT攻击行为的全貌。

  • 多维度的可疑网络行为发现

    系统具备多种攻击行为检测分析模块,包括:终端恶意进程检测、可疑渔域名发现、账号异常、屏蔽信道检测、TCP异常会话等、对攻击事件进行完整的分析,以及故障解决建议。

  • 恶意网络行为的拦截与阻断

    系统除了发现APT攻击行为,通过云端威胁分析中心所提供的威胁情报,结合形同中的下一代终端安全EPS模块,还能及时拦截和阻断攻击行为。

  • 灵活和扩展的部署方式

    系统具有多种部署形式:单机和分布式都能很好的支持。分布式部署适合大型集团和需要对多网段进行全面监控和防御的客户。单机部署适合为只有单一网络出口的中小型客户停供对APT攻击的检测与防御。

价值与应用

value and application

场景与部署

scene and Deployment

数据中心单点部署方案Date Center Single Point Deployment Scheme

多数情况下,本产品旁路部署在企业数据中心防火墙和SSL卸载设备内侧,接入出入站双向流量,可准确感知来自外部的攻击行为,并应有威胁情报发现内网已被攻陷主机与攻击者控制端通信行为,以及失陷主机挖矿等威胁事件。另外,从流量中梳理暴露在互联网上的主机和域名资产,违规打开端口(例如MySQL服务对互联网开发),服务于端口不合规(例如在TCP/80端口开放SSH服务),还可以实时感知Web登录接口被攻击、API被滥用以及敏感数据被爬取情况。

多数据中心分布式部署方案Distributed Deployment Scheme for Multiple Date Center

针对存在多个数据中心的企业,可将多个数据传感器分别放置在各个数据中心出口位置,企业安全管理人员在总公司通过统一的分析管理平台集中观测和管理全部风险,对于进一步分析所需日志存储和威胁元数据也可通过分布式存储方式实现快速横向扩展