威胁分析服务
相关介绍
威胁分析服务是以威胁发现为基础,以分析验证为核心,以通报处置为关键,以推动提升为目标,为客户提供安全服务。服务基于威胁感知系统的网络流量和终端EDR日志,运用威胁情报、规则引擎、文件虚拟执行、机器学习等技术,精准发现网络中针对主机与服务器的已知和未知的攻击入侵行为,利用本地大数据平台对流量日志和终端日志进行存储和查询,结合威胁情报和攻击链分析对事件进行分析、研判和回溯,同时结合边界NDR、终端EDR以及自动化编排处置可以及时的阻断威胁。
服务功能
高级威胁检测分析
运用威胁情报、文件虚拟执行、沙箱检测引擎、智能规则引擎、攻击链引擎、机器学习等技术,系统可以检测和发现各种网络攻击,涵盖:APT攻击、勒索软件、WEB攻击、远控木马、僵尸网络、窃密木马、间谍软件、网络蠕虫、邮件钓鱼等高级攻击,并基于可视化技术,清晰的展示和分析网络中的威胁。
异常行为检测分析
基于网络流量数据,系统运用大数据分析和机器学习技术建立网络异常行为检测模型,内置非常规服务分析、登录行为分析、邮件行为分析、数据行为分析等数种场景,实现对新型攻击和内部违规的检测和发现。
告警响应处置
系统为用户提供攻击告警的列表、统计、查询、调查等功能,且提供基于ATT&CK标签分析告警的能力,并支持终端EDR联动、防火墙NDR联动与自动化编排处置,帮助安全运营人员快速研判和处置告警事件。
攻击回溯分析
系统支持全包取证分析,并提供线索可视化图谱拓线分析能力,能为用户呈现一次攻击的完成过程,帮助用户对网络攻击进行回溯和深度分析。