任子行，网络安全威胁与事件管理平台，海量采集，动态监测，深度分析，资产护航，智能UEBA

传统的安全设备堆叠，已经无法满足复杂的网络安全环境，网络安全防护工作的本质是要达到对安全事件和安全威胁的有效管控。

因此，任子行基于政企内生安全和运营的需求，推出了网络安全威胁与事件管理平台产品，该方案产品提供资产失陷检测、安全事件分析、全流量入侵监测、内网安全运维、威胁情报分析、泄密追踪溯源、数据资产识别管理等全面的安全运营能力，是一个集检测、预警、响应处置于一体的大数据安全分析和统一安全运营中心。

安全运维现状分析

随着信息化建设的深化以及大数据、物联网、云计算和移动互联网等新兴技术的发展和普及，我国政企单位客户在IT网络安全领域面临比以往更为严峻的网络安全形势。政企单位面临以下痛点：

底数不清

资产众多，难以摸清终端、服务器、IP地址、域名、系统账户、管理者、使用者等资产和账户信息

防护割裂

内网部署分布的安全设备品牌多样、新旧不一、各自为战

敌情不清

最新的攻击方法、安全漏洞、恶意代码无法有效、精准识别

重点不清

1、核心业务资产难以排查

2、需清理资产难以统计

3、测试设备、测试账户难以有效清理

4、外部支撑设备无法有效维护

5、基于中心侧的建设需要安管平台配合

人手不足

安全运维部门安全分析工作量大、对人员技能要求高，人力成本不断增加

方案架构

方案各组件核心功能

任子行网络安全威胁与事件管理平台(SURF-SE-Z)：负责收集流量探针、网络安全设备、漏扫设备、堡垒机等各类型安全日志，通过大数据关联分析、脆弱性分析、病毒文件还原分析、威胁情报分析、AI智能行为分析等技术，发现内网资产的失陷问题、脆弱性问题以及已知及未知的潜伏威胁。

任子行网络威胁感知探针(SURF-SE-MA)：旁路部署在核心关键节点，对全流量进行协议解析、检测及病毒文件还原，将检测的安全日志信息及数据上报给安全威胁管理平台综合研判。

任子行漏洞扫描系统(SURF-Scanner)：旁路部署在核心关键节点，对内网资产进行风险漏洞和弱口令扫描，将检测到的安全漏洞信息实时上报给安全威胁管理平台综合研判。

威胁情报：本地导入或云端配置对接第三方威胁情报库，通过对源数据进行威胁情报分析，增加网络安全威胁分析的识别率和准确率。

其他可接入的安全设备与组件

任子行下一代防火墙（SURF-NGSA）：部署在网络出口或边界，一方面负责网络安全防御、入侵检测和上报安全事件日志，另一方面可与安全威胁管理平台配置进行联动响应，通过平台下发一键封堵策略对风险评估高的IP进行封堵操作。

任子行运维审计系统（SURF-HAC）：网桥部署在关键节点，一方面负责运维审计功能，另一方面收集用户行为日志上报给安全威胁管理平台，为平台UEBA行为画像分析提供数据源基础。

终端安全感知系统EDR（SURF-SE-EDR）：通过在操作系统中部署轻量化的安全探针，采集终端主机威胁日志，实时监控主机异常活动信息，形成一套基于操作系统、进程、服务、注册表、驱动程序等的行为模型，对异常入侵行为主动发现和响应处理。

方案优势与特点

1、多源异构日志归一化采集

支持基于网络流量的入侵检测日志和主机安全事件日志采集以及各类第三方网络安全设备日志等十余种协议采集。

2、资产主被动探测和标注

可通过主被动探测扫描网络中的存活主机，准确识别其属性并结合组织结构和网段，自动匹配和标注资产属地信息，实现资产的自动化发现。

3、多维度安全威胁检测引擎

4、基于流式的安全事件深度挖掘

支持多维度、多层面检测，通过安全事件交叉验证、风险系数评估，进一步提高发现威胁的成功率，降低威胁告警的误报率。

5、主流安全威胁事件立体感知

安全威胁感知引擎构建了丰富的安全威胁规则和引入三方威胁情报大数据分析，可实现自动化识别黑客的各种网络攻击行为。

6、资产全生命周期脆弱性感知

可对信息系统内网资产提供全生命周期的脆弱性态势感知，协助客户发现存在风险的资产并及时修补。

7、病毒态势与追踪溯源取证

可对全网络流量监控并还原病毒文件，及时发现病毒的传播并进行评估，通过追踪溯源采集的日志信息进行分析取证。

8、智能易用的告警运维管理

可对分析的安全事件做告警策略设置、告警提醒和工单处置，并可对告警和工单进行归档处理，使网络安全运维有迹可寻。

9、联动响应一键处置闭环

可配置与任子行防火墙设备(三方设备可定制接口)联动响应，可对风险系数评估高的恶意IP加入封堵策略，联动给防火墙设备处置。

10、基于AI智能的行为画像

基于AI智能的UEBA分析子系统（用户和实体行为分析）可识别异常用户或用户异常行为。

方案应用场景

1、网络安全态势感知：实现对网络整体安全态势的感知，安全能力从“防范”为主转向“快速检测和响应能力”的构建。

2、全流量安全监测：深度分析内网核心资产和业务，有效告警和发现已知及未知威胁行为，采ATT&CK攻击12步法，精准定位攻击手法和手段，有效溯源和取证。

3、企业安全运营：新一代的网络安全运营中心（SOC或SIEM）是现代政企机构网络安全运营管理的关键系统，可视化呈现内网资产详情和风险状态，有效提高安全运维效率80%以上。

4、资产安全加固：UEBA有效分析用户异常操作和行为异常等信息，并精准画像，防护数据资产安全，避免数据泄露风险的发生。

5、护网防护工具：无缝链接攻防演练，支持部署到企事业内部资产环境，对企事业攻防演练进行检测及管控，可作为攻防演练配套利器。

6、等保合规：满足等保2.0中关于“一个中心，三重防护”的建设需求，符合等保2.0中技术要求和规范，可满足等保二级三级建设中平台技术要求。