传统攻击检测和防御体系依赖静态、被动和孤立的已知签名和规则,无法有效应对当前以规模化、自动化、0day高级持续性攻击为特征的各种复杂安全威胁。
随着黑客攻击的专业化和组织化,传统的安全控制措施无法检测和应对高级威胁不断升级和变动的战术、技术手段和过程,对未知威胁或高级威胁的检测往往力不从心。
EDR主要包括两版本,EDR基础版和EDR高级版,主要功能如下
结合威胁情报大数据,有效做到安全攻击的分析、研判和追溯。基于多维度、覆盖全球的数据收集,利用云端大数据技术自动化处理配合顶尖安全研究团队的人工运营,生成各种用途的威胁情报。
可视化进程树:展示具体告警的进程,及进程的上下父子进程信息。通过进程树的可视化帮助分析人员对威胁进行追踪溯源,确认问题根源以及该恶意行为带来的影响。
当终端发生威胁事件时,可对当前终端进行一键隔离,通过控制中心输入对应的进程名,进程MD5值,处置动作包括终止进程、进程隔离、进程删除等将威胁的影响面缩小到最小程度。
安全事件推送:奇安信威胁情报中心根据云端收集到的攻击情报信息,构建安全事件知识库,对新爆发的热点安全事件快速响应,并通过云端对奇安信天擎客户推送热点安全事件;风险终端评估:主动帮助管理员对全网终端进行风险扫描评估,评估出受安全事件影响的终端情况,并可对风险终端进行快速处置。
通过在内部业务系统终端部署EDR客户端,可及时定位已经失陷的终端,响应已知、未知终端威胁,避免组织内部大面积终端安全事件的爆发,如勒索病毒全网蔓延。
全面满足在等保2.0标准中针对主机防病毒\补丁、漏洞管理\集中管控等安全控制点的合规要求,帮助用户实现等级保护二、三级建设。
下发针对不同终端的安全策略,从而达到组织通过统一终端管控平台,对WindowsPC、WindowsServer、Linuxserver统一资产管理、终端安全基线管理、终端安全风险管理的要求。
powershell.exe可以从网络下载脚本内容并在内存中执行,本地磁盘不会有脚本文件生成。黑客常常利用powershell的这个特点来执行恶意脚本,规避杀毒软件的查杀和监控。
通过威胁追踪,对于钓鱼邮件攻击行为进行调查及影响面评估。实例:疑似发现一个“采购表”的钓鱼邮件,调查本次攻击的影响面。方法:搜索钓鱼邮件附件标题,找到“邮件附件传输”日志。
国内首家推出真正符合EDR定义的产品,EPP&EDR统一客户端、同台管理符合技术趋势;《IDC中国终端安全检测与响应市场研究》报告份额与产品战略两第一;国内首家通过MITREATT&CK框架测评,检测能力覆盖70%+攻击技术点;规模最大的专业威胁情报团队。
通过对终端的的异常行为数据进行分析,结合上下文数据以及威胁情报推送数据的综合分析,使高级威胁的恶意活动清晰可见,实现对高级威胁追踪
通过终端对高级威胁的智能响应能力,可自身可以实现对自动攻击阻止、隔离修复、取证分析和追踪溯源,单次的积极响应转化成持续的静态规则,进而对高级威胁持续遏制,补齐终端安全管理平台对应高级威胁的能力短板
可在网络中搜索和及钻取更多的威胁信息,分析渗透的真实目的,便于安全人员能够快速确定范围、影响,及时止损,提高应急响应的效率