产品概述
一体化终端威胁检测与响应平台 助力企业完善端点安全保护
随着网络攻击技术变化,传统安全保护系统无法解决未知威胁、高级威胁等定向性攻击手段,如何解决该方面的安全短板是企业当前的迫切需求。联软科技通过UniEDR系统为企业提供威胁检测和响应处置于一体的终端防御平台。
通过终端系统级数据进行全面采集,基于ATT&CK框架对终端上的危险行为和入侵行为进行检测,基于机器学习对终端上的异常行为进行检测,内置专家规则和诱饵对恶意行为进行快速判定,同时针对上述威胁进行及时告警,并通过威胁调查工具进行全面取证,通过控制、隔离、删除等措施进行处置,并对受损终端进行恢复。
主要功能
行为采集
对系统配置、启动项、系统日志、软硬件、补丁安装等系统静态数据,以及系统运行的账号登陆日志、驱动变更信息、进程信息、网络连接、文件读写、注册表读写、PowerShell&CMD命令、DNS请求、端口监听等数据进行全面采集,并可于联软UniNAC\UniAccess\UniDLP\UniNID等系统无缝对接,实现网络、设备、数据全方面的采集。
威胁检测
基于专家级行为基线分析模型检测产生攻击告警 ;
通过MIRTRE ATT&CK攻击者战术知识库映射比对,定位与展示攻击阶段。
安全事件
对威胁行为特征进行综合判定,产生安全事件和告警信息;
自动化分类安全告警信息,结合多种方式快速通知告警;
安全事件关联攻击日志和原始日志,展示攻击链详情,清晰展示攻击事件关联,快速溯源分析。
威胁调查
支持多条件组合查询,多维度数据聚合,关键信息可便签标记,便签内容高亮展示;
进程事件树方式展示进程关系及相关详细进程行为信息;支持图关系查询,实时展示关联调查步骤关系;
调查对象、关联数据支持以时间流方式抽取记录,进行查询回溯,自主生成调查取证报告。
威胁处置
支持网络隔离、阻断,设备关机,进程权限限制、隔离,文件隔离、删除等多方位处置手段;
支持与UniNAC网络准入控制、UniAccess终端安全管理等多种安全管控平台深度结合联动。
主要安全设计
全面、精准数据采集
数据采集针对不同类型信息针对性分类处理,性能占用低、数据采集全面,PE文件信息、底层硬件信息、文档内容等信息都可完整采集,数据关联信息以图的方式进行存储,方便查询
快速威胁检测
以MITER ATT&CK™为基础,系统化对威胁检测策略规划,相比传统依赖已知案例专家规则,能够更全面的对威胁进行防御,发现未知潜在威胁;
独创的高速数据存储、处理引擎和图计算模型,大幅提升计算速度,有效提升威胁调查的速度,更快发现威胁。
更高ROI
整体性架构平台,同一Agent集成准入控制、桌管、防泄密功能,根据企业需求与业务发展快速无缝扩展;
1500万+Agent部署数量,良好的兼容性,系统资源占用更少,大幅节省终端硬件投入,提升员工使用体验;
与联软UniNDR、UniCWPP(服务器侧的威胁检测)无缝联动,所有产品基于统一个威胁检测模型实现高效检测和更加全面的威胁处置。
主要价值
提升终端安全管理的可见性,有效发现未知威胁
能够基于统一的威胁检测框架,对威胁防御工作进行评估量化,自动对威胁进行识别,并通知安全人员
威胁调查工具可对已识别的威胁进行研究并搜寻潜在的可疑活动
通过有效、及时的处置手段,对威胁进行遏制、删除,保护企业资产
应用场景
高级可持续攻击防护、挖矿与黑市工具等非攻击性恶意软件防御、点滴式数据窃取行为防御
