终端检测响应解决方案

实现对终端从预测、防护到检测、响应的全生命周期的持续性安全防护,为终端提供积极主动的防护能力。

需求来源及方案概述

BACKGROUND REQUIREMENTS

● 需求来源

近年来,针对终端设备的攻击层出不穷,这些攻击大多会利用操作系统上未公开的漏洞,由于传统的防护手段在面临APT、0day等高级攻击时,无法形成有效防御。因此,面对新型攻击手段和未知安全漏洞,终端安全亟需打破传统防御思路,从技术上主动发现、识别各类已知和未知安全威胁,及时阻断网络入侵行为,同时提供一种安全防护托底的手段,在安全事件发生后,对安全事件进行取证分析和追踪溯源。

Gartner将EDR(Endpoint detection and response,端点检测和响应)定义为“记录和存储端点系统级行为的解决方案,使用各种数据分析技术检测可疑系统行为,提供上下文信息,阻止恶意活动,并提供修复建议以恢复受影响的系统。主要功能包括:检测安全事件、调查安全事件、在端点上遏制安全事件、将端点修复到感染前状态。

● 解决方案

联软终端检测与响应系统是联软科技基于Gartner提出EDR概念结合CARTA“持续自适应风险与信任”安全模型开发的,用于解决终端高级威胁攻击、威胁攻击溯源及协助企业持续化改进的终端安全管控平台。产品可通过现有联软EPP管控平台进行扩展,在统一管理平台统一客户的基础上,实现安全能力互补,发现威胁、处置威胁、分析威胁、持续化改进终端安全管理配置。

联软EDR通过持续监测采集各种类型端点上的行为信息和运行状态,并通过大数据、机器学习等技术,对端点的相关数据进行持续性的关联行为分析、威胁检测、高级威胁分析等,并提供事件响应处置、追踪溯源、调查取证等功能,从而实现对终端从预测、防护到检测、响应的全生命周期的持续性安全防护,为终端提供积极主动的防护能力。

解决方案

SOLUTION

  • 基于多维度的数据采集技术

    业内领先的全数据采集能力,支持超18+大类、336+小类及关联行为采集内容。

  • 终端威胁行为检测

    对终端上所有安全行为相关的数据进行深度学习、关联分析、聚类分析,主动发现和识别出终端上隐藏的安全威胁。

  • 威胁深入调查

    进行关联查询和证据留存,可以更好地了解端点上发生的事情,提供关于攻击的上下文和详细信息,调查取证溯源。

  • 终端威胁处置

    快速定位全网感染终端,并针对发现的威胁定义对应的处置策略。

  • 与安全产品联动

    支持与联软网络准入控制、终端安全管理、第三方厂商分析平台等深度联动处置。

主要价值

MAIN VALUE

  • 行业经验积累深

    拥有十九年终端管理经验保障客户端平稳运行

  • 高质量数据采集能力强

    超18+大类、336+小类及关联行为采集,漏报误报率低

  • 部署架构先进

    多终端节点架构,节点数据缓存、按需采集、轻量级数据库引擎等技术能够保障网络环境稳定

  • 海量数分析快、调查取证快

    专用数据存储引擎、快速分析海量数据,分钟级调查取证

  • 全攻击矩阵识别风险

    基于ATT&CK攻击矩阵能够快速识别告警安全风险

  • 自定义专家规则

    支持多类型专家规则自由组合能够深度发现威胁事件

  • 联动闭环处置

    端点安全保护平台能够实现处置结合修复,做到安全闭环力

  • 联软UniEDR专为大客户设计

    在性能、处理引擎、横向扩展、分级存储、专家规则、采集能力等方面均有先进性的设计,成熟案例多

成功案例

SUCCESSFUL CASE

大量实践案例证明

平安集团、微众银行、中兴通讯、顺丰速运、格力电器、大金空调等