“高级威胁终端检测及响应系统”CTDI是一款终端(桌面和服务器操作系统)威胁检测及响应EDR的产品,采用服务器和客户端的部署架构,CTDI的客户端可以广泛部署在Windows/Linux等操作系统上,从内核态和用户态详细记录“文件操作”、“进程起停”、“注册表修改”和“网络连接”,将日志汇总到CTDI的服务器端,进行关联分析和高级查询。
CTDI是亚信安全精密编排解决方案中提供快速响应的专业调查工具,CTDI能够与亚信安全深度威胁发现设备TDA进行联动验伤,根据TDA从网络上侦测到的威胁线索,在终端操作系统上进行关联分析,快速评估威胁影响范围和危害程度,提供自动化的验伤报告,帮助用户的安全运维人员降低维护成本,提高响应效率。
CTDI还能够同亚信安全高级威胁情报平台深度集成,提供IOA/IOC等EDR增强威胁侦测和溯源分析功能,提升用户威胁可视化能力。
产品总体架构
CTDI的设计架构包括“探针层”、“服务器层”和“平台层”。
“探针层”覆盖了广泛的Windows和Linux操作系统,通过CTDI客户端采集操作系统中的文件操作、进程启停、注册表修改和网络连接等信息,通过心跳连接,定期发送至CTDI的“服务器层”。
“服务器层”集中收集并且长期存储客户端上传的行为记录,通过核心算法进行威胁可视化呈现,还可以根据云端威胁情报模块定期推送的IOA/IOC进行本地日志的回溯扫描和实时监控,检测出基于无文件攻击的高级威胁。CTDI对外提供了验伤API接口,能够自动化地根据威胁线索进行本地验伤和扩展线索的排查,为用户出具精密编排的验伤报告。
“平台层”可以是流行的“态势感知平台”/SIEM/SOC,也可以是APT监控设备,例如TDA。这些平台和设备可以通过验伤API接口把需要调查溯源的安全线索发送给CTDI,并且接收CTDI的验伤结果。
使用场景
“传统安全”是基于黑白名单对“已知威胁”进行阻断,其检测率和响应速度已经无法有效应对新型“高级威胁”,代表技术包括传统EPP、防火墙和入侵检测系统。
由于产业互联网时代外部环境发生了重大变化,我国颁布的《网络安全法》明确提出了快速响应的要求,因此“新型安全”是基于“行为特征”来有效检测“高级威胁”,强调快速响应和恢复补救,代表技术包括EDR、APT监控设备和沙箱。
CTDI从操作系统内核态、用户态高清记录操作系统中的文件、进程、注册表和网络连接等信息,根据安全事件的线索,通过关联分析,对攻击过程进行可视化呈现,极大地提升快速调查响应的效率和效果。
功能
- 安装在操作系统上的高清摄像头
- 服务器端大容量存储和高性能关联分析
- 攻击可视化
- 文件流转视图
- IOA/IOC 功能帮助用户事前侦测威胁,对热点安全事件进行自我排查
- 联动验伤功能
- EPP和EDR融合部署管理
- 以溯源分析模块方式同态势感知平台集成
优势
- 内核态操作系统行为高清记录
- 广泛的操作系统支持– Windows & Linux
- 强大的威胁狩猎(Threat Hunting)和攻击可视化
- 精密编排联动验伤API接口同TDA集成,自动化分析报告降低用户安全运维技术门槛
- 同OfficeScan融合部署管理,符合国际EPP+EDR融合的技术趋势
- 同态势感知/SIEM/SOC平台双向集成,提升平台的溯源分析能力
评论