更新时间:2023-04-03 GMT+08:00

边界防护与响应

表1 规格清单

一级分类

二级分类

规格名称

规格描述

管理

安全态势大屏

资产失陷态势

资产失陷态势,包括:失陷主机趋势、失陷主机分布、失陷事件阻断率、最新失陷事件、top失陷主机、top失陷类型、top失陷事件。

基础安全事件态势

基础安全事件态势,包括:攻击位置、威胁判定平均时长、阻断率、top攻击类型展示,最近威胁事件,专项事件数量。

外部攻击源态势

外部攻击源态势,包括:外部攻击源趋势、攻击源分布、外部攻击阻断率、最新外部攻击、top攻击源、攻击资产、攻击类型。

定期安全报告

定期安全报告

按周、按月为用户提供安全服务报告,安全服务报告将以邮件形式发送至用户订阅邮箱。通过安全服务报告,客户可清晰了解以下信息:

  1. 安全服务概况。
  2. 威胁防护次数及趋势。
  3. 失陷主机数量及详情。
  4. 外部攻击源数量及趋势。
  5. 恶意文件数量及趋势。

支持应用访问行为统计,支持基于源IP、时间和应用分布等维度的统计,按周月提供统计分析报表

  1. 支持历史安全报告的查看和预览功能。
  2. 支持报告下载。

安全域管理

安全域状态管理

  1. 支持安全域状态监测,检查安全域物理连线是否接反。
  2. 支持针对安全域设置信任标签。

MSSP

MSSP代维

可在用户运维平台对安全服务建立委托关系,给指定被委托方建立不同操作权限角色(管理员、审计员等)的代维委托。委托建立后,被委托方可查看、处置安全威胁事件。

MSSP安全大屏

支持针对MSSP管辖的租户进行安全大屏呈现。

MSSP工单流转

支持租户的工单流转到MSSP进行分析和处置。

防护

天关/防火墙威胁防护

恶意软件防护

支持多级防护技术,支持多种恶意代码载体类型检测,实时更新病毒库,覆盖流行高危恶意软件。注:1U款型支持500万病毒库,桌面型款型支持300万病毒库。

僵木蠕防护

支持基于僵尸网络拓扑分析技术的精准角色识别,支持500+僵尸网络识别,支持1000+蠕虫和木马识别。

业务感知

支持识别6000+应用,支持主流应用协议全覆盖。

WEB分类

支持Web分类库超1.2亿,对访问行为进行管理,防范恶意网站对企业网络的侵害。

入侵防御

支持基于漏洞与行为分析的攻击检测技术,支持上下文语义还原的防躲避技术,最大支持12000+特征库,支持自动更新 。1U款型支持12000特征库,桌面型款型支持5000特征库 支持僵尸网络检测及应用服务器防护 。

响应

手动封禁

手动封禁

可以通过检测到的外部攻击源事件,进行手动封禁攻击源的操作。

威胁自动阻断

外部攻击源自动阻断

支持对外部高危攻击源精准识别,自动下发黑名单,阻拦其后续的攻击行为。

恶意域名自动阻断

支持基于DNS过滤实现恶意域名自动阻断,拦截用户网络内主机对恶意域名的访问行为。

紧急安全通知

短信通知

支持短信紧急安全通知,针对威胁事件发送紧急通知,及时指导进行响应。

邮件通知

支持邮件紧急安全通知,针对威胁事件发送紧急通知,及时指导进行响应。

告警模板

对于需要发送给用户的紧急告警,提供对应的告警模板自定义能力。

黑白名单功能

域名黑名单

支持配置域名黑名单,拦截用户网络内主机对恶意域名的访问行为。

设备黑名单

  1. 支持设备黑名单设置能力,快速阻断威胁攻击源。
  2. 支持设备历史黑名单的查看。
  3. 支持一键清除。

设备保护网段

支持设备保护网段联动能力,保护已知业务,防止黑名单误阻断。

租户全局白名单

支持租户全局白名单设置能力,保护已知业务,防止黑名单误阻断。

设备白名单

支持设备白名单设置能力,保护已知业务,加入设备白名单的地址不会再进行内容安全检测。

分析

专项事件分析

失陷主机

支持按失陷主机维度自动聚合,基于失陷主机进行快速分析和处置。

外部攻击源

  1. 支持按外部攻击源维度自动聚合,基于外部攻击源进行快速分析和处置。
  2. 支持外部攻击源导出能力。

恶意文件

支持按恶意文件维度自动聚合,基于恶意文件进行快速分析和处置