高级威胁检测
产品简介
产品简介
启明星辰推出的高级威胁检测系统(简称CWP)由管理平台和探针设备组成,探针设备可实现与管理平台联动,实现文件还原,流量检测,日志采集等分析数据上送,在管理平台可以进行关联分析及安全态势展示,是立足于公司十多年信息安全积累的基础之上并融合当前大数据技术,基于客户最新需求推出的全新一代安全产品管理和运营中心。
典型应用
高级威胁检测系统以业务为核心保障目标,融合业界流行的大数据技术,针对高速信息进行采集,融合多源异构数据,结合SQL、NewSQL和NoSQL技术,实现异构海量安全数据的高效可靠存储,并以安全数据为驱动,提供智能化关联分析技术和基于机器学习的威胁狩猎功能,支撑并实现整体安全状态的可视化呈现。系统分为集中管理、安全分析、处置响应、展示呈现、数据总线、系统管理等多个模块。
高级威胁检测系统架构示意图
集中管理:集中管理模块帮助用户同时管理多个探针设备,最大程度地降低了配置,管理,监控及维护的投入成本,协助用户集中高效地完成和管理海量安全产品的需求。
通过集中的对探针设备进行状态监控、流量监控,通过持续的安全策略优化,通过对安全数据的关联分析并形成响应动作,最终构成安全闭环,达到动态安全防护。
安全分析:安全分析模块实现对预处理后的海量数据的实时和历史分析,采用多种分析方法,包括关联分析、机器学习、运维分析、统计分析、OLAP分析、数据挖掘和恶意代码分析等多种分析手段对数据进行综合关联,完成数据分析和挖掘的功能。
处置响应:处置响应模块的功能是根据引擎的告警,通过手工或自动化的方式,阻止现有威胁和紧急威胁。除此之外,处置和响应模块还可有效降低长期折磨安全人员的大量警告噪音。
展示呈现:展示呈现层负责对海量数据的原始数据、分析结果数据和管控数据进行可视化展示,提供人机交互界面,向安全管理人员呈现全方位安全状态。
数据中台:数据中台负责采集与安全相关的海量异构数据,主要分为两大类型,一类为高频数据,也就是通常所说的大数据,以海量、高速、异构为特征,主要有外部流、运行状态和性能数据、日志和事件、原始流量镜像包和Flow流数据等,通过高速数据总线采集;另一类为低频数据,包括常见的资产信息、拓扑信息、配置信息、漏洞情报和威胁情报等,通过低频数据总线进行采集。
产品特点
一体化安全运营
高级威胁检测系统是业界首个融合了完整的集中管理功能、专业安全分析功能、领先的处置响应功能和威胁情报功能的一体化安全分析中心。通过集中管理、集中分析与处置响应功能的有机整合,为企业和组织提供了领先的一体化安全产品运营中心。从而真正实现了高层辅助决策:全局安全态势可视化,帮助高层管理者掌握企业全网安全状况,随时了解最新的安全趋势和风险状态,辅助决策安全建设方向和投资。中层管理落地:威胁、漏洞、资产集中闭环管理,帮助中层管理者落地安全管理和技术体系,威胁事件预警和追溯,漏洞监控并闭环处置,动态发现资产变化,做到心中有数。基层运营支撑:帮助运维人员精准攻击发现,及时事件预警,日志审计回溯,协同应急处置,减轻运维工作量,提高工作效率。
数据底座
为了应对海量事件管理带来的挑战,高级威胁检测系统采用了国内领先的高性能日志采集范式化技术、大数据分布式存储与索引技术、列式数据库和数据湖等技术,高级威胁检测系统成为一款能够支撑持续海量安全数据处理的安全分析中心。
集中管理
统一监控:高级威胁检测系统可对启明星辰安全产品进行统一监控,包括被管理安全产品的基础信息、CPU/内存磁盘使用情况、接口流量、运行时间、系统版本、特征库版本等信息。从而大幅降低运维人员的工作量,实现一个界面统一监控的目的。
集中管理:高级威胁检测系统可对接入的启明星辰安全产品进行分组管理、状态监控、单点登录、特征库升级管理、DNS管理、NTP管理、配置备份、自动巡检等操作。运维人员通过集中管理功能,即可统一操作所有接入的安全产品,省时省力。
高级威胁检测系统自身即可作为所有启明星辰安全产品的统一升级中心。一方面自身可通过代理或直连方式,从云端同步各类安全产品的升级包,用户只需要配置仅允许对外访问权限即可满足探针的特征库需求,新上线的探针设备也无需变更访问控制规则,直接将升级服务器指向高级威胁检测系统即可。另一方面其会配置并主动响应各个产品的升级请求,并形成统计记录供运维人员分析。
统一策略下发:高级威胁检测系统支持统一策略下发功能。对于不同类型的安全产品,其统一策略下发模块均针对特定类型的需求而专门设计和开发。
产品功能
功能模块 | 功能描述 |
数据采集 | 平台应基于大数据基础构架,具备海量数据接入、存储、访问、计算能力; |
日志采集方式应支持Syslog、kafka等方式; | |
支持采用大数据架构进行数据存储、检索与计算,提高系统的计算能力; | |
支持采集第三方系统以及安全设备的系统日志;支持采集网络/安全设备上报的流量日志; | |
无需配置解析规则与设备日志对应关系,自动完成解析; | |
支持以Kafka或Syslog协议,将设备告警日志转发至最多10个其他系统; | |
威胁分析 | 支持扩展安全态势的可视化呈现,以大屏的方式从攻击事件、地理位置、事件级别等多个维度进行可视化展示; |
支持HTTP、ICMP、DNS、FTP、SMTP、POP3、IMAP4、NFS、SMB协议的流量解析以及还原,通过解析主流的应用协议,对协议传输中承载的文件及关键字段信息进行分析还原,提供网络安全防护能力; | |
支持外部对内部攻击、内部跨安全域横向攻击、内部外连攻击等多种威胁方向监测; | |
支持对网络内外部告警威胁的可视化呈现,包括但不限于外部攻击与外部攻击类型TOP、内部攻击类型TOP、告警类型/事件TOP10、攻击视角、横向移动视角、资产视角、攻击者视角、僵木蠕攻击场景、弱口令场景、密码爆破攻击场景、挖矿分析场景等; | |
支持对告警日志的研判分析、标识和处置响应,包括自动呈现告警相关的基础信息、关联资产信息、关联情报信息、IP和域名的关联日志,可查看告警对应的元数据(如HTTP请求头、请求体、回应头、回应体等),可直接查看对应的PCAP原始报文信息。 | |
支持用户自定义关联规则,针对简单事件和复杂事件的关联分析功能、基于时序的关联分析规则,可以实现对安全事件的检测发现,防止安全事件的发生; | |
支持可视化图表类型≥15种,包括但不限于时序图、饼图、柱状图等; | |
系统管理 | 支持平台本身的计算、存储资源利用率监控; |
支持数据集与数据索引健康度监控; | |
支持事件详情列表展示和聚合事件两种模式; | |
支持对平台各组件运行健康状态的集中监控; | |
提供三权分立的用户管理能力:配置员、用户管理员、审计员相互独立,支持根据对象属性自定义划分系统管理角色和一般用户角色,按照数据和功能分级灵活设置用户权限; | |
支持设备和日志按用户隔离; | |
处置响应 | 支持对日志的标识,可将指定日志标识为确认攻击已处置、确认攻击无影响、误报等多种类型,并支持将标识自动匹配至所有重复性告警; |
支持不同视角展示全网态势,包括综合安全态势、脆弱性态势、资产安全态势、威胁事件态势等展示功能,为管理员的安全事件处理提供依据; | |
所有处置响应动作均有完整的日志记录,包括日志ID、事件详情、安全分析人员、响应动作、下发结果等。 | |
检索内容可通过关键字、条件表达式、时间范围对事件和流量元数据进行快速检索,快速定位到管理员关注的威胁和上下文数据; | |
设备管理 | 支持对探针设备的统一管理; |
支持统一配置设备的特征库升级参数,包括升级频率、升级时间、升级服务器IP地址等;可选择下发至所有设备或指定设备/设备组; | |
支持统一配置设备的DNS服务器参数,包括主、备DNS;可选择下发至所有设备或指定设备/设备组; | |
支持统一配置设备的NTP服务器参数,包括NTP服务器地址、同步频率等;可选择下发至所有设备或指定设备/设备组; | |
平台可集中下发检测策略,如包括统一事件策略管理、自定义事件统一下发、白名单统一下发等; |
产品规格
产品名称 | 高级威胁检测系统 |
模块名称 | 高级威胁检测系统-管理平台 |
模块型号 | NT3000-FT-CWP3 |
硬件规格 | 标准2U机架式设备,CPU为国产飞腾CPU |
4个千兆电口、4个千兆光口 | |
2个USB接口 | |
1个Console口 | |
128G内存 | |
冗余电源 | |
产品性能 | 管理和日志采集节点数量:20 |
单节点最大管理和日志采集节点数量:500 | |
单节点日志采集性能:10000条/秒 | |
模块名称 | 高级威胁检测系统-探针设备 |
模块型号 | NT3000-FT-CSP3 |
硬件规格 | 标准2U机架式设备,CPU为国产飞腾CPU |
4个千兆电口、4个千兆光口 | |
4T硬盘 | |
冗余电源 | |
产品性能 | 应用层吞吐量:5Gbps |
并发连接数:500万 | |
每秒新建连接数:5万 |
京公网安备11010802024551号