EDR终端检测与响应方案

持续自适应风险与信任

需求来源及方案概述

BACKGROUND REQUIREMENTS

需求分析:

APT (高级持续性威胁) 是高度组织化并专为特定目标进行的计算机网络攻击。这种攻击特点是精准和长期,攻击者通常专注于某一特定行业或组织。他们深入研究和了解目标,这样的定向性使得每次攻击都更为精确和难以察觉。对于APT攻击者来说,PC终端由于其在企业网络中的广泛应用和包含的关键信息,成为了首选的攻击对象。

APT攻击者不仅拥有高超的技术能力,而且他们的进攻策略也经常是长线作战。随着技能的不断提升,他们进行的攻击活动持续时间也在延长。这意味着一个目标可能在数月乃至数年的时间里不断遭受威胁。

有效的安全策略必须具备前瞻性和应急响应能力。考虑到APT的持续和隐蔽特点,安全团队需要有能力在早期阶段就对威胁进行识别,并迅速采取措施进行应对。此外,针对潜在的或已知的威胁,实时预警机制是必不可少的。

传统终端保护方案以防御为核心,易被定制化的恶意软件和针对性攻击绕过。为了解决这一问题,联软科技推出了基于Gartner EDR概念的终端检测与响应系统,用于解决终端高级威胁攻击。该系统可通过联软EPP管控平台扩展,提供多维度数据采集技术、威胁行为检测、深入调查和终端威胁处置。

解决方案

SOLUTION

传统终端保护方案以防御为核心,易被定制化的恶意软件和针对性攻击绕过。为了解决这一问题,联软科技推出了基于Gartner EDR概念的终端检测与响应系统,用于解决终端高级威胁攻击。该系统可通过联软EPP管控平台扩展,提供多维度数据采集技术、威胁行为检测、深入调查和终端威胁处置。

联软EDR采集数据涵盖18大项336+子项内容,可自定义采集方式,丰富的数据采集是威胁检测的基础。

威胁行为检测

通过深度学习、大数据关联分析、高级威胁引擎实现实时入侵检测,并提供毫秒级报警并处置。

威胁深入调查

支持通过域名、MD5等信息进行关联查询和证据留存,更好地了解端点上发生的攻击。

终端威胁处置

能对恶意文件/进程进行全网追溯和全方位处置,通过自定义全局搜索或者通过YARA、高级语言语法、高级威胁检测规则等对终端进行全面的数据调查,快速定位全网感染终端,并针对发现的威胁定义对应的处置策略。

主要价值

MAIN VALUE

  • 防护从被动到主动

    联软的安全自适应架构实时监测端点安全状态,第一时间发现和溯源威胁,完善体系建设防止未来攻击。

  • 检测从粗略到精准

    实时端点监控结合大数据分析精确识别未知风险,实现无间断入侵监测,快速响应,提供毫秒级报警。

  • 响应从缓慢到快速

    EDR的检测响应能力与专业安全响应流程相结合,助力安全人员快速确定威胁范围和影响,及时止损,提高响应效率。

  • 协同从单点到整体

    联软UniEDR天然的与EPP平台无缝集成,可实现统一平台统一客户端的一体化管控,减少终端资源占用和员工抵触心理。平台自带Syslog、WebServer、Web API等多种数据传输接口可以与企业内部威胁检测响应框架集成。

  • 独创技术

    支持多种语法方式,实现不同维度的自定义,满足复杂规则定义和开源规则使用,可复用已积累的专家规划库。

成功案例

SUCCESSFUL CASE

大量实践案例证明

格力电器、顺丰速运、中兴通讯、软通动力等