主机威胁已成为越来越多用户所面临的最大安全风险,比如说勒索病毒、挖坑木马等,也是这几年来,众多用户遇到的最为头疼的网络安全问题。通过云眼-(云)主机入侵监测及安全管理系统,为用户提供了实时的监测及防护能力,能够快速的发现主机层面的安全风险、威胁,启用多层级的安全防护策略,从而降低主机层面的安全风险,守住网络安全的最后一公里,让(云)主机安全“看得清、防得住、追得到”。
借鉴Gartner提出的CWPP设计思路,采用先进的端点检测及响应(EDR)技术模型、自适应安全架构及ATT&CK在Server EDR中的应用相结合的理念,构建的主机安全运营管理系统,解决私有云、混合云中主机安全监测及防护问题。
主机安全运营管理系统的组成有资产管理、安全体检、安全监控、漏洞风险、入侵威胁、合规基线、威胁情报等多个功能模块,各个模块进行联动,模块间数据联通,形成闭环系统,为企业提供强有力的采集、检测、监测、防御、捕获能力,对主机进行全方位的安全防护。
1、资产管理
定期获取并记录主机上的Web站点、Web容器、Web应用、Web应用框架、账号、计划任务、端口、数据库、进程、第三方组件、环境变量、Jar包、系统安装包、软件应用、内核模块等信息,进行统一的管理和清点。
2、安全体检
主动发起主机深度检测,支持自定义体检项体检、自定义路径体检、即时体检及定时体检、批量体检策略下发、体检报告生成导出及体检结果自动评分。
3、安全监控
支持开启各类监控包括登录监控、完整性监控、操作审计、进程监控、资源监控、性能监控。全天候监控主机的运行情况,确保第一时间发现服务器问题,帮助快速发现安全风险和性能瓶颈。
4、漏洞风险管理
一是主机自身的安全漏洞如系统漏洞、网页漏洞等;二是人为原因造成的风险因素如弱口令、高危账号、配置缺陷。
5、入侵威胁管理
展示及处理各类入侵事件及具有高度威胁的事件,支持识别并处置的入侵威胁事件包括:病毒木马、网页后门、反弹shell、异常账号、日志删除、异常登录、异常进程、系统命令校验等。
6、安全防护
提供强大的安全防护功能支持暴力破解防护、扫描防护、病毒防护、IP黑白名单、端口安全防护、访问控制、进程行为控制、反弹shell监控、远程登录防护、本地提权防护。
7、合规基线
提供官方等保基线模板,满足等保二级及等保三级要求;支持用户自定义基线模板;支持合规基线检查策略批量下发。
8、威胁情报
主机安全运营管理系统威胁情报来自云端的分析成果,针对高级持续性威胁、新型木马、特种免杀木马进行规则化描述。最终确保发现的未知威胁的准确性,并生成可供大数据分析平台使用的威胁情报。
9、安全报表
支持整体网络态势感知,根据主机有无被入侵、是否有监控异常、体检不健康主机数评判当前整体网络态势;支持全站安全信息报表生成导出。
1、威胁情报驱动:基于威胁情报的大数据分析能力
涉及500W+主机防护,拥有最新的IOC数据,基于安全狗公司云端的海量数据处理获取到未知威胁,与主机端点采集到的安全数据相结合进行大数据分析,准确识别出威胁事件。
2、多模块联动构建闭环系统
资产管理、安全体检、安全监控、漏洞风险、入侵威胁、合规基线、威胁情报等多个功能模块联动防护,模块间数据联通,形成闭环系统,实现高效运维。
3、支持传统IT架构及云计算平台
同时支持公有云和私有云架构,已与各大主流公有云平台建立合作(阿里云、腾讯云、青云、UCloud、AWS、Azure、华为云、金山云、京东云、天翼云等)。
4、采用轻量级Agent
Agent轻量化,采用检测与响应的思路,而不是采用传统比较重的杀毒模式,占用较小的内存和CPU资源,提供对Agent的资源占用进行限制;弹性自适应,可以根据业务的负载进行弹性调整,在业务主机的高峰期如果有需要可以实现降级。
部委 | 央企 | 运营商 | 金融 |金融 | 互联网 | 政府 | 教育 | 医疗 | 国企 | 能源 | 烟草 | 公安 | 等各行业