睿眼·Linux取证溯源系统全新上市 – 作者:zorelworld

近日,睿眼·Linux取证溯源系统举行了新版本线上发布会。

据了解,睿眼•Linux取证溯源系统是一款针对Linux主机上的黑客恶意活动,进行深度检查的终端安全产品,具备高精准的恶意软件(含病毒、木马及黑客工具)识别能力,同时更专注于攻击者活动的检测,可有效发现隐蔽性强、危害较大的高级威胁,同时通过智能自动化检测黑客入侵痕迹、分析黑客线索、还原黑客攻击手法等,让普通安全人员具备取证溯源专家水平。

此次发布的全新版本功能更丰富,如新增的「威胁侦测」功能包括主机监控、攻击视角、全局搜索,大大提升检索范围和检索效率,可更准确高效地基于黑客在不同入侵时间段或不同攻击链中的攻击手法去检测黑客入侵痕迹,还原整个攻击过程。

同时新版本界面焕然一新,操作更简易,可更便于用户的日常使用操作。

图片[1]-睿眼·Linux取证溯源系统全新上市 – 作者:zorelworld-安全小百科

线上发布会现场

全新版本解读

新增「威胁侦测」

新增「威胁侦测」功能,其中包括「主机监控」、「攻击视角」、「全局搜索」三大主线

威胁侦测——主机监控

图片[2]-睿眼·Linux取证溯源系统全新上市 – 作者:zorelworld-安全小百科

「主机监控」功能,用户通过主机列表可纵览各个主机的检测结果,包括主机的状态、威胁项、检测时间等信息,并可对其中特定的单台主机进行「立刻检测」、「编辑配置」、查看「取证报告」、「专家模式」等操作。

同时,用户可通过筛选字段,缩小主机列表展示的主机范围。

威胁侦测——攻击视角

图片[3]-睿眼·Linux取证溯源系统全新上市 – 作者:zorelworld-安全小百科

「攻击视角」是睿眼·Linux取证溯源系统的特色功能。用户可基于攻击者的全局视角宏观掌握整体的主机攻击态势,从而提升作为防守方的主机威胁态势感知能力。

「攻击视角」将检测结果信息按照威胁文件、威胁进程、恶意启动项、系统配置威胁、网络威胁、入侵痕迹、系统漏洞等威胁项为主线进行呈现,同时可一键切换到其中任意一个威胁项的详情页面,聚焦该威胁项。

威胁侦测——全局搜索

图片[4]-睿眼·Linux取证溯源系统全新上市 – 作者:zorelworld-安全小百科

「全局搜索」页面,用户可针对安全和非安全的文件、进程、启动项、系统配置、网络、痕迹、系统漏洞等数据进行全量搜索,大大提升检索范围和检索效率。

新增威胁感知呈现

在功能更新的基础上,新版本对整体UI界面设计也进行了重构、优化、升级,同时增加「威胁感知」功能,以更丰富的图表形式展示.威胁信息。

包括从全局视角进行的态势感知,提供整体主机安全性分析、全局时间的变化性分析,整体把控主机安全状态;对当前监控环境的统计分析,如主机分组统计、主机统计、模块威胁分布、详细威胁规则分布等;对主机威胁趋势、模块威胁趋势、活动规律等的统计分析;对攻击源的地域分区展示……

图片[5]-睿眼·Linux取证溯源系统全新上市 – 作者:zorelworld-安全小百科

威胁感知——态势感知

新增三种检测模式

临时检测模式:人工在受检主机上运行采集器后,将采集结果回传到系统进行分析。临时检测模式能够适应离线环境,可用于睿眼·web、睿眼·网络等入侵检测设备发现可疑主机后,针对特定的可疑主机进行应急性检测。

远程检测模式:事先录入主机登录信息后,可远程下发采集器,一键自动完成检测。远程检测模式可实现大量主机的快速批量排查、定期采集定时检查。

安装部署模式(专家模式):在需要监控的受检主机上安装部署采集器,采集器将长期运行,并与本系统适时联动。安装部署模式适用于在线环境下的主机实时威胁监控。

此外,新版本还增加了「资产管理」主机分组、主机管理等功能方便用户更方便管理企业内部主机,新增「白名单管理」功能可对威胁项进行灵活的加白处理……

关于睿眼·Linux取证溯源系统

作为一款针对Linux主机、具有应急响应,溯源取证等功能,且检测能力全面,深入、高效的终端安全产品,睿眼•Linux取证溯源系统具有以下特色优势:

1.检测全面 溯源深入

基于海量攻防实战经验,睿眼•Linux取证溯源系统的检测范围涵盖Linux主机的各个方面,包括文件系统、内存进程、配置文件、系统项、定时任务、系统日志、应用日志、网络流量、系统固件、系统内核等。

同时针对APT攻击的特点和阶段,睿眼•Linux取证溯源系统专门设计多重入侵痕迹模型,覆盖攻击矩阵涉及的策略和技术,采集各项指标数据与数千种攻击模型自动匹配,并结合威胁情报、关联分析、专家视角、黑客溯源、攻击链分析等技术,能够有效识别webshell、反弹shell、挖矿程序、木马后门、rootkit等Linux系统入侵手段,更深入地检测发现Linux系统中潜藏的安全风险和高级威胁入侵痕迹。

睿眼•Linux取证溯源系统综合采集各项数据进行关联分析,并利用威胁情报、大数据分析、黑客指纹档案库、攻击链分析、可视化等技术手段对黑客行为进行深度解析,同时可提供强大的专家模式和关联分析能力,为绘制完整的攻击过程,提供丰富的信息和手段。

2.安全可靠 灵活高效

安全:采集器针对Linux内核及程序依赖关系设计,免安装、体积小,且支持灵活控制资源占用、采集文件的范围定制化管理等,并可智能调整检测策略,不影响系统性能,保障业务正常运行。

高效:检测速度快。快速模式下每台主机平均30分钟完成采集,10分钟内完成分析入库,同时支持多台并发检测,可满足主机批量式采集的场景需求。

灵活:Linux系统的差异非常大,具体采集速度与系统文件数量有关,用户可自由选择快速采集模式、深度采集模式、自定义模式。

3.集中管理 简单易用

睿眼•Linux取证溯源系统采用一个检测中心(分析端)多个采集节点(采集端)的结构,可使用大范围主机检查、定时检查、基线对比等多种安全策略;

采集端自动采集、自动上传至分析端,再由分析端自动分析、提供分析报告,尽可能简化了用户的日常操作、降低了维护管理的难度和成本。

4.兼容性强 全面适配

面对庞大的Linux系统分支和版本分支,睿眼•Linux取证溯源系统具备很强的兼容性;适配300+不同版本的Linux主机,基本覆盖市面上主流适用的Linux系统,对小众Linux发行版也具备快速适配能力。

来源:freebuf.com 2021-04-20 11:56:21 by: zorelworld

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论