UniEDR终端检测与响应系统

一体化终端威胁检测与响应平台

产品概述

PRODUCT OVERVIEW

联软终端检测与响应系统是联软科技基于Gartner提出EDR概念结合CARTA“持续自适应风险与信任”安全模型开发的,用于解决终端高级威胁攻击、威胁攻击溯源及协助企业持续化改进的终端安全管控平台。产品可通过现有联软EPP管控平台进行扩展,在统一管理平台统一客户的基础上,实现安全能力互补,通过UniEDR系统发现威胁、处置威胁、分析威胁,联软EPP平台通过威胁追溯分析结果持续化改进终端安全管理配置,使企业内部终端安全实现持续上升完善的趋势。

主要功能

MAJOR FUNCTION

  • 基于多维度的终端数据采集

    安全大数据是支撑构建覆盖面足够广、精确度足够高的检测防御模型,以及发现攻击者痕迹的必要基础。

    联软UniEDR能够对终端的安全相关数据进行持续的采集,包括:包括基本信息(包括主机信息、系统用户信息、系统服务信息、PE信息)、终端事件记录(包括进程启动事件、进程退出事件、进程注入事件、文件操作事件、网络访问事件、DNS访问事件、操作系统用户登录事件、操作系统日志事件、Powershell执行事件)、终端变更记录(包括注册表变更、自启动变更、系统用户变更、服务变更、驱动变更)等

  • 主动检测,发现潜在威胁

    联软UniEDR通过对所有安全行为相关的数据进行深度学习,并采用关联分析、聚类分析、威胁分析等技术,主动发现和识别出终端上隐藏的安全威胁,同时根据客户业务运行状况设立监测指标,对文件进程、主机访问、业务关系等建立多维度、多层次的纵深检测体系

  • 威胁深入调查

    联软UniEDR提供终端安全大数据搜索的能力,能够针对风险事件进行深入的钻取分析,核实安全事件的准确性,还原出风险事件的攻击过程,追溯其来源,分析影响范围、造成损失等相关信息。

  • 威胁响应处置

    针对不同类型的终端威胁提供相应的响应手段,结合终端、业务、系统等因素提供补救措施,提升安全基线,防止同类型攻击再次发生。

主要优势

MAIN ADVANTAGES

持续采集监测,消除终端盲区

采用了最为完整的终端安全监测方案,通过终端安全数据的不间断采集、监测、与分析功能,可以显著提升发现潜在威胁的能力,提升调查工作的便捷性,为深入透彻的了解终端的威胁状况提供重要的背景基础。

深度调查,实现威胁可视化

帮助分析人员快速获取到终端的异常行为数据,再结合上下文数据以及行为基线分析模型的综合分析,使高级威胁的恶意活动清晰可见

自动化响应,及时清除风险

针对于发现的高级威胁事件,可提供对应的安全响应的处置策略和任务,对于威胁事件提供隔终止、隔离、取证等安全手段,快速终止威胁的持续发生。提升安全运维团队的响应的效率和处置威胁事件的能力。

典型应用场景

TYPICAL APPLICATION SCENARIOS

网端云联动处置

当一个可疑行为被发现之后,需要通过多维度验证判读后才能准入确认为攻击行为,避免误报、漏报信息。联软UniEDR系统可提供丰富的端点数据采集信息供综合威胁检测平台分析和调查,溯源威胁主体的传播途径和攻击手段,对该威胁所造成的影响进行评估,确认影响终端范围,并针对性完善系统加固体系和应对措施。

针对未知威胁持续检测

通过统一的规范化格式将Attack 攻击矩阵中出现的多种攻击特征进行标准化,再结合客户自身企业和所面临的攻击方式,构建符合企业内部安全的检测模型,同时配合专业的安全响应流程设计,引导安全运维人员,在网络中搜索以及钻取更多信息的能力,调查高级威胁渗透的真实目的,结合终端、业务、系统等因素提供补救措施,提升安全基线,防止同类型攻击再次发生

主要安全设计

MAIN SAFETY DESIGN

  • 全面、精准数据采集

    数据采集针对不同类型信息针对性分类处理,性能占用低、数据采集全面,PE文件信息、底层硬件信息、文档内容等信息都可完整采集,数据关联信息以图的方式进行存储,方便查询

  • 快速威胁检测

    以MITER ATT&CK™为基础,系统化对威胁检测策略规划,相比传统依赖已知案例专家规则,能够更全面的对威胁进行防御,发现未知潜在威胁; 独创的高速数据存储、处理引擎和图计算模型,大幅提升计算速度,有效提升威胁调查的速度,更快发现威胁。

  • 更高ROI

    整体性架构平台,同一Agent集成准入控制、桌管、防泄密功能,根据企业需求与业务发展快速无缝扩展; 1500万+Agent部署数量,良好的兼容性,系统资源占用更少,大幅节省终端硬件投入,提升员工使用体验; 与联软UniNID、UniCWPP(服务器侧的威胁检测)无缝联动,所有产品基于统一个威胁检测模型实现高效检测和更加全面的威胁处置。