亚信高级威胁终端检测及响应系统【CTDI】

admin 产品中心评论675字数 1333阅读4分26秒阅读模式

“高级威胁终端检测及响应系统”CTDI是一款终端(桌面和服务器操作系统)威胁检测及响应EDR的产品,采用服务器和客户端的部署架构,CTDI的客户端可以广泛部署在Windows/Linux等操作系统上,从内核态和用户态详细记录“文件操作”、“进程起停”、“注册表修改”和“网络连接”,将日志汇总到CTDI的服务器端,进行关联分析和高级查询。

CTDI是亚信安全精密编排解决方案中提供快速响应的专业调查工具,CTDI能够与亚信安全深度威胁发现设备TDA进行联动验伤,根据TDA从网络上侦测到的威胁线索,在终端操作系统上进行关联分析,快速评估威胁影响范围和危害程度,提供自动化的验伤报告,帮助用户的安全运维人员降低维护成本,提高响应效率。

CTDI还能够同亚信安全高级威胁情报平台深度集成,提供IOA/IOC等EDR增强威胁侦测和溯源分析功能,提升用户威胁可视化能力。

产品总体架构

亚信高级威胁终端检测及响应系统【CTDI】
CTDI的设计架构包括“探针层”、“服务器层”和“平台层”。

“探针层”覆盖了广泛的Windows和Linux操作系统,通过CTDI客户端采集操作系统中的文件操作、进程启停、注册表修改和网络连接等信息,通过心跳连接,定期发送至CTDI的“服务器层”。

“服务器层”集中收集并且长期存储客户端上传的行为记录,通过核心算法进行威胁可视化呈现,还可以根据云端威胁情报模块定期推送的IOA/IOC进行本地日志的回溯扫描和实时监控,检测出基于无文件攻击的高级威胁。CTDI对外提供了验伤API接口,能够自动化地根据威胁线索进行本地验伤和扩展线索的排查,为用户出具精密编排的验伤报告。

“平台层”可以是流行的“态势感知平台”/SIEM/SOC,也可以是APT监控设备,例如TDA。这些平台和设备可以通过验伤API接口把需要调查溯源的安全线索发送给CTDI,并且接收CTDI的验伤结果。

使用场景

亚信高级威胁终端检测及响应系统【CTDI】
“传统安全”是基于黑白名单对“已知威胁”进行阻断,其检测率和响应速度已经无法有效应对新型“高级威胁”,代表技术包括传统EPP、防火墙和入侵检测系统。

由于产业互联网时代外部环境发生了重大变化,我国颁布的《网络安全法》明确提出了快速响应的要求,因此“新型安全”是基于“行为特征”来有效检测“高级威胁”,强调快速响应和恢复补救,代表技术包括EDR、APT监控设备和沙箱。
亚信高级威胁终端检测及响应系统【CTDI】
CTDI从操作系统内核态、用户态高清记录操作系统中的文件、进程、注册表和网络连接等信息,根据安全事件的线索,通过关联分析,对攻击过程进行可视化呈现,极大地提升快速调查响应的效率和效果。

功能

  • 安装在操作系统上的高清摄像头
  • 服务器端大容量存储和高性能关联分析
  • 攻击可视化
  • 文件流转视图
  • IOA/IOC 功能帮助用户事前侦测威胁,对热点安全事件进行自我排查
  • 联动验伤功能
  • EPP和EDR融合部署管理
  • 以溯源分析模块方式同态势感知平台集成

优势

  • 内核态操作系统行为高清记录
  • 广泛的操作系统支持– Windows & Linux
  • 强大的威胁狩猎(Threat Hunting)和攻击可视化
  • 精密编排联动验伤API接口同TDA集成,自动化分析报告降低用户安全运维技术门槛
  • 同OfficeScan融合部署管理,符合国际EPP+EDR融合的技术趋势
  • 同态势感知/SIEM/SOC平台双向集成,提升平台的溯源分析能力

weinxin
我的微信
微信扫一扫
admin
  • 本文由 发表于 2022年6月23日 17:31:23
  • 转载请务必保留本文链接:https://gzdayue.com/47.html
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: