产品介绍
亚信安全终端检测与响应系统采用EDR技术,通过对操作系统行为高清记录和长期存储,对操作系统、应用软件和账号资产进行动态发现,根据威胁行为规则IOA和外部特征库IOC来对漏洞攻击和无文件攻击等高级威胁进行关联分析及检测,通过绘制进程事件树实现攻击可视化,对受害主机进行远程遏制和修复。
产品功能
攻击可视化
攻击可视化是指通过进程的关联关系,以进程事件树的方式将可疑进程的孵化关系、文件操作、注册表修改和网络行为绘制出来,帮助安全运维人员更加直观地分析恶意进程是如何运行起来的,做了哪些可疑操作,该恶意进程对应的文件是如何进入主机的,极大地提高了安全事件分析的效率。
联动验伤功能
提供了开放的验伤API接口,能够从APT网络监控设备、态势感知平台和威胁感知运维平台接收验伤请求,根据安全事件的线索,以精密编排的方式对告警事件进行溯源分析,自动化提供验伤分析报告,降低了安全运维门槛,为快速响应治理提供依据。
事件记录能力
从操作系统内核态记录“文件操作”、“进程事件”和“注册表操作”,从用户态采集“系统事件”,还通过DPI(深度报文解析)模块识别并记录超过1000种以上的网络协议及应用,并且对网络安全攻击最常使用的协议HTTP/SMB/SMTP/POP3/IMAP进行了加强型的记录。
威胁溯源
根据病毒特征库检测到已知威胁,通过机器学习引擎和恶意行为监控引擎检测到未知威胁,并且对威胁进行隔离或者清除。EDR模块可以根据OfficeScan检测到的威胁线索(例如:文件名称路径、文件哈希、IP、域名、URL等)进行进程关联分析,溯源入侵渠道,帮助用户发现安全短板并进行加固,大幅提升用户的网络安全防护等级。
IOA/IOC功能
基于行为规则IOA检测的威胁包括暴力密码破解攻击、WebShell攻击、提权攻击、漏洞攻击和无文件攻击等类型;基于外部威胁特征库IOC检测的威胁包括挖矿和勒索等热点安全事件,可以帮助用户进行自我有效排查。