需求分析

网络安全检测分析是攻与防的持续对抗过程,传统的网络威胁分析存在很多的关键技术问题亟需解决:
? 传统产品检测能力不足:传统的安全产品漏报、误报严重,每天产生大量的告警,并且面对高级攻防对抗场景检测偏弱,APT攻击难以发现;
? 攻击链还原需求迫切:传统安全产品无法做到对完整攻击链条的攻击监测及取证溯源,没有实现自动化攻击路径还原,使用门槛偏高;
? 监管法律法规提高要求:等保2.0、攻防演练、网络重保等,对攻击监测发现、取证溯源和未知攻击检测提出了更高的要求,监管驱动对安全产品更高的要求。
通过部署TAR威胁分析一体机,可有效提升威胁检测能力,精准判断攻击是否成功;对网络攻击事件追踪溯源、取证;精准发现内部失陷主机,发现内部设备漏洞;同时可全面感知网络威胁态势,综合展示攻击行为。

 

产品简介

产品简介

天阗威胁分析一体机(Threat Analysis and Response-All In One,以下简称TAR)是以攻防研究为核心,配合场景分析、资产构建、自动响应、协同防御能力,构建下一代一体化高级威胁检测与响应体系,意在为客户提供一套集检测、分析、可视、闭环响应为一体的本地网络安全分析中心。

TAR针对恶意代码等未知威胁具有细粒度检测效果,可实现包括对:未知恶意代码检查、嵌套式攻击检测、木马蠕虫病毒识别、隐秘通道检测等多类型未知漏洞(0-day)利用行为的检测。具备全流量双向检测、沙箱检测能力、提供多价值分析场景、情报赋能提升检测和分析能力、联动处置能力等功能,可有效帮助用户监测高级威胁APT攻击,应急处置僵木蠕爆发、失陷主机定位等问题,同时帮助有重保、攻防演练需求的用户用于一体化全流量威胁感知监测。

天阗威胁分析一体机技术白皮书.pdf


 

功能特点

  • 全流量双向关联检测
    基于流量全字段检测技术,采用双向关联特征判定,直接检测攻击是否成功。
  • 内置沙箱检测能力
    内置行为检测、漏洞检测的沙箱能力;全面提升检测未知威胁、APT攻击能力。
  • 提供多种价值分析场景

    结合日常运维习惯,提炼弱口令、爆破攻击、僵木蠕、DNS隧道、恶意域名、ATT&CK检测、攻击链检测、横向检测、失陷主机分析等多个场景化模型。

  • 提供多维度可视界面

    可从多维度攻击呈现,提供10个专业大屏进行展示。

  • 情报赋能提升检测和分析能力

    系统集成高可用威胁情报库,针对敏感主机、后渗透回连进行专项监控分析。

  • 联动处置能力

    接收我司APT设备日志,并下发策略给防火墙、IPS、WAF设备进行阻断闭环。 

 

技术优势

  • 集成多种能力的一体机

    业界独家集双向检测、沙箱检测、威胁情报能力、综合分析能力、大屏展示能力、响应闭环能力为一体网络安全检测分析响应设备

  • 上线部署简单高效

    开箱即用,可旁路部署于核心/汇聚交换机、互联网/办公网出口等位置,不影响用户业务,节约资源,上线立刻展示威胁告警,可快速发挥效果

  • 沙箱检测能力业绩领先

    内置行为检测、漏洞检测的沙箱能力,可全面提升未知威胁检测能力,帮助用户发现高级威胁

  • 具备超强的双向检测能力

    能够通过返回信息判断攻击是否成功;支持基于会话进行网络报文全字段提取;支持如冰蝎4.0、反序列化漏洞、Log4j漏洞等热点事件的双向检测

  • 提供丰富的威胁分析场景

    如挖矿分析、攻击链分析、弱口令、暴力破解、可疑隧道、失陷主机、僵木蠕分析等,提升有效性分析能力,辅助用户溯源分析和攻击研判

  • 情报赋能提升检测和分析能力

    集成高可用的威胁情报,针对敏感主机、后渗透回连进行专项监控分析,可与云端配合,增量威胁情报自动更新

  • 具备整合联动与阻断闭环能力

    可下发策略给同品牌防火墙、IPS、WAF、EDR进行自动阻断闭环响应;整合现有资源,可以和同品牌设备APT、NFT等无缝对接

 

典型应用


场景一


名称:应急处置僵木蠕场景
部署环境:旁路部署在数据中心、生产网服务侧
场景描述:可检测被黑客远程控制的僵木蠕主机及其行为,检测针对应用、系统的各类入侵,检测业务中被植入恶意代码的文件;同时可下发策略给防火墙、IPS、WAF、EDR进行自动联动阻断闭环,应急处置相关威胁。
 


场景二


名称:全流威胁感知溯源场景
部署环境:旁路部署在单位网络出口,通过镜像口抓取进出口网络流量
场景描述:可检测对各单位内网发起的恶意代码入侵攻击;发现正潜伏在单位内各服务器和终端主机中的各种特种木马行为,定位出失陷主机,找到业务系统异常根源;发现攻击威胁后,同时可联动全流取证溯源设备调取攻击证据,结合专家人工分析,进行攻击溯源。
 


场景三


名称:重大保障活动攻击监测场景
部署环境:分布旁路部署于大型企业总部与二级单位边界及核心区域
场景描述:重大保障活动场景覆盖;总部到分支机构,安全监测全覆盖;完整攻击取证和攻击链还原能力;可对全流量数据中捆绑的木马、漏洞攻击进行检测,避免恶意文件渗透进入敏感网络,减少APT攻击造成的危害和影响。
 


用户价值

天阗威胁分析一体机(TAR)具备以下用户价值:
? 协助安全部门定期通报内网攻击威胁
? 自动发现高级威胁
? 安全问题追踪溯源
? 失陷主机定位分析
? 攻击情况综合展示

服务热线

400-624-3900