快速定位,全面分析 | 终端威胁扫描分析系统助力网安防护能力整体提升 – 作者:国舜科技

2019年的网络威胁事件呈现频发多发、波及面广、影响深远等特点,随着世界格局发展不确定性的增加和网络攻防博弈的不断加剧,网络威胁检测将更加困难,可预见的未来网络安全防护压力注定将不断增加,传统安全防护措施已远远不够。

在当前高穿透性、高传播性、高危害性的网络攻击成日益常态化,网络安全态势日益复杂化的情况下,如何在终端进行有效的未知威胁检测的工作,提升用户整体网络安全防护能力?国舜股份立足新安全形势,以终端威胁扫描分析系统助力用户快速判断威胁发生情况,定位安全事件,进行全面自动化分析并回溯事件,为用户网络安全保驾护航。

1.痛点解决

(1)检测高级威胁,间谍软件,隐藏进程和Rootkit

(2)检测异常网络连接和的历史异常活动

(3)识别未知非PE文件和系统不合规配置

2.产品介绍

(1)提供终端无Agent方式的EDR解决方案

(2)可针对特定终端进行深入检测并输出分析报告,可大量节省工程师的工作时间成本。

(3)具有易于部署,快速高效,支持主动检测,计划任务及触发型场景等优势。

(4)输出的报告在更深层,更专业的同时,阅读门槛低,直接输出判断结果及原因,更具有可用性

(5)支持Windows和Linux平台检测

9bac3c9f1ba54df2ae44942729a4f069.jpeg

自动化调查过程

3.对应场景

【SOC/SRC】木马分析 ;APT分析 ;安全事件调查 ;取证分析 ;自动运维

【安全评估服务】系统状态评估;安全状态检测;APT事件调查

【IT桌面运维】主机安全状态的监控和检测;分支机构的主机安全状态的检测

4.检测威胁

【Windows威胁检测】

进程代码注入检测;隐藏进程和Rootkit检测;异常TCP连接查看;Hooks检测,如键盘监控类木马;收集活动线索和文件;未知的可疑文件分析和URL检测;支持IOC扫描查询及结果导出;支持普通权限扫描;支持注入攻击深度扫描;支持多windows平台检测

【Linux威胁检测】

Linux后门的检测;Linux病毒检测;系统信息,账户信息,进程信息检测;重要系统日志检测;网络包收集;系统防篡改检测;潜在风险检测;支持常见linux平台检测

c0a8172b73c449ed85e0bbc5e6356947.png

工作原理:发起检测(手动发起,在线扫描,离线扫描,轻量级agent方式/自动触发检测分析,和第三方SIEM平台或syslog服务器联动)→ 静态过滤(第三方情报库/白名单/非PE检查)→ 恶意软件分析引擎(通过平台分析可疑文件,潜在风险等规则过滤)→ 沙箱分析→ 生成综合分析报告,输出日志给第三方平台

5.更多优势

【自动化分析】

(1)较日志分析/DIY工具更强大

(2)较杀毒解决方案更完整,具有嵌入式对象的动态分析

(3)从用户桌面进行系统深入分析,包括可疑对象

【报告更直观】

(1)专为SOC团队设计

(2)报告顶部列出了驱动影响和严重性的关键指标

(3)能够深入分析收集的系统快照以了解详细信息

【更简洁易用】

轻量化部署;终端无需常驻Agent(区别EDR);Server端统一集中部署(网络可达);极简化配置;终端Agent一键运行;组织或指定端点的白名单功能;支持攻击流程关联分析,可生成攻击流程图;按需运行及分析,定时、定向终端;Server端内置沙箱,对位置url及文件进行安全分析及检测;统一报表展示;支持多租户(用户)

【第三方平台日志整合】

(1)易于与现有的SIEM和事件响应平台集成,支持syslog日志接收和输出,并可进行联动扫描

(2)支持多种syslog加密模式

(3)支持restful APl

(4)支持JASON格式报告输出

终端威胁扫描分析系统为远程威胁事件调查提供了一种更易用方便的工具。通过对可疑端点系统或服务器进行彻底检查,终端威胁扫描分析系统仅用5到10分钟时间即可对潜在威胁或风险进行定位,若过程中识别出可疑文件或URL链接则会自动启动集成的沙箱进行行为分析,也可以作为端点系统上的轻量级被动代理进行部署,以进行更频繁或预定的调查。

来源:freebuf.com 2020-03-10 14:34:53 by: 国舜科技

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论