更新时间:2024-06-13 GMT+08:00
分享

边界防护与响应

表1 规格清单

一级分类

二级分类

规格名称

规格描述

管理

授权管理

服务授权

进行边界防护相关功能的授权管理。

安全态势大屏

资产失陷态势

资产失陷态势,包括:失陷主机趋势、失陷主机分布、失陷事件阻断率、最新失陷事件、top失陷主机、top失陷类型、top失陷事件。

基础安全事件态势

基础安全事件态势,包括:攻击位置、威胁判定平均时长、阻断率、top攻击类型展示,最近威胁事件,专项事件数量。

外部攻击源态势

外部攻击源态势,包括:外部攻击源趋势、攻击源分布、外部攻击阻断率、最新外部攻击、top攻击源、攻击资产、攻击类型。

套餐管理

套餐开通

支持用户下单边界服务套餐、套餐绑定设备、套餐绑定重保等能力。

定期安全报告

定期安全报告

按周、按月为用户提供安全服务报告,安全服务报告将以邮件形式发送至用户订阅邮箱。通过安全服务报告,客户可清晰了解以下信息:

  1. 安全服务概况。
  2. 威胁防护次数及趋势。
  3. 失陷主机数量及详情。
  4. 外部攻击源数量及趋势。
  5. 恶意文件数量及趋势。

支持应用访问行为统计,支持基于源IP、时间和应用分布等维度的统计,按周月提供统计分析报表

  1. 支持历史安全报告的查看和预览功能。
  2. 支持报告下载。

安全域管理

安全域状态管理

  1. 支持安全域状态监测,检查安全域物理连线是否接反。
  2. 支持针对安全域设置信任标签。

手机APP

手机APP

支持手机APP方式进行边界防护的威胁事件、黑白名单、安全报表等功能管理。

MSSP

MSSP代维

可在用户运维平台对安全服务建立委托关系,给指定被委托方建立不同操作权限角色(管理员、审计员等)的代维委托。委托建立后,被委托方可查看、处置安全威胁事件。

MSSP安全大屏

支持针对MSSP管辖的租户进行安全大屏呈现。

MSSP工单流转

支持租户的工单流转到MSSP进行分析和处置。

识别

暴露面风险评估

暴露面风险评估

通过对互联网暴露面端口扫描,对用户网络安全状态实时看护,提示用户网络内不必要暴露端口。

防护

天关/防火墙威胁防护

恶意软件防护

支持多级防护技术,支持多种恶意代码载体类型检测,实时更新病毒库,覆盖流行高危恶意软件。注:1U款型支持500万病毒库,桌面型款型支持300万病毒库。

僵木蠕防护

支持基于僵尸网络拓扑分析技术的精准角色识别,支持500+僵尸网络识别,支持1000+蠕虫和木马识别。

业务感知

支持识别6000+应用,支持主流应用协议全覆盖。

WEB分类

支持Web分类库超1.2亿,对访问行为进行管理,防范恶意网站对企业网络的侵害。

入侵防御

支持基于漏洞与行为分析的攻击检测技术,支持上下文语义还原的防躲避技术,最大支持12000+特征库,支持自动更新。1U款型支持12000特征库,桌面型款型支持5000特征库,支持僵尸网络检测及应用服务器防护 。

响应

手动封禁

手动封禁

可以通过检测到的外部攻击源事件,进行手动封禁攻击源的操作。

EDR联动处置

EDR联动处置

支持失陷主机、恶意文件进行EDR联动处置能力,支持进程隔离、病毒查杀等操作。

EDR资产和设备自动关联

通过EDR资产发送探测报文方式,实现EDR资产、边界防护与响应服务、资产管理服务、EDR服务等服务联动,进行EDR资产与天关设备自动关联。

威胁自动阻断

外部攻击源自动阻断

支持对外部高危攻击源精准识别,自动下发黑名单,阻拦其后续的攻击行为。

恶意域名自动阻断

支持基于DNS过滤实现恶意域名自动阻断,拦截用户网络内主机对恶意域名的访问行为。

紧急安全通知

短信通知

支持短信紧急安全通知,针对威胁事件发送紧急通知,及时指导进行响应。

手机APP通知

支持手机APP紧急安全通知,针对威胁事件发送紧急通知,及时指导进行响应。

邮件通知

支持邮件紧急安全通知,针对威胁事件发送紧急通知,及时指导进行响应。

告警模板

对于需要发送给用户的紧急告警,提供对应的告警模板自定义能力。

黑白名单功能

域名黑名单

支持配置域名黑名单,拦截用户网络内主机对恶意域名的访问行为。

设备黑名单

  1. 支持设备黑名单设置能力,快速阻断威胁攻击源。
  2. 支持设备历史黑名单的查看。
  3. 支持一键清除。

设备保护网段

支持设备保护网段联动能力,保护已知业务,防止黑名单误阻断。

租户全局白名单

支持租户全局白名单设置能力,保护已知业务,防止黑名单误阻断。

设备白名单

支持设备白名单设置能力,保护已知业务,加入设备白名单的地址不会再进行内容安全检测。

分析

专项事件分析

失陷主机

支持按失陷主机维度自动聚合,基于失陷主机进行快速分析和处置。

外部攻击源

  1. 支持按外部攻击源维度自动聚合,基于外部攻击源进行快速分析和处置。
  2. 支持外部攻击源导出能力。

恶意文件

支持按恶意文件维度自动聚合,基于恶意文件进行快速分析和处置

检测

自定义签名

自定义签名事件检测

支持由云端向设备下发自定义签名配置,并对由此产生的安全事件进行管理分析。

云蜜罐

事件检测

支持联动云蜜罐进行威胁检测、分析研判与处置

云端DNS自动化威胁检测

DNS恶意域名检测

恶意域名检测支持基于DNS过滤日志和恶意域名库,针对内网主机请求外网恶意域名的检测

云端Metadata威胁检测

明文口令检测

检测网站交互流量中是否存在明文口令传输行为。

弱密码检测

检测网站交互流量中是否存在弱密码传输行为。

反序列化攻击检测

反序列化是指把字节序列恢复为对象的过程,如果Web应用在进行反序列化时接收用户输入的数据,且缺少对输入数据必要的验证,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,导致任意代码执行。算法基于反序列化攻击中的恶意流量特征进行检测,并支持攻击成功判定。

暴力破解检测

暴力破解攻击是通过使用某一账号、密码字典(通常为网络社工收集),尝试枚举登录,如果登录成功,则可获取用户账号密码。算法基于流量检测针对SSH、RDP协议的暴力破解,包括常规爆破以及密码喷洒式爆破、慢速爆破。

SQL注入检测

SQL注入是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句中添加额外的SQL语句,实现欺骗数据库服务器执行非授权的任意查询,达到获取数据信息的目的。算法基于HTTP交互行为特征识别SQL注入,并支持SQL注入的攻击成功判定。

DNS Tunnel检测

DNS通道指攻击者通过将攻击报文封装在DNS协议中,利用DNS递归查询机制,与远程恶意DNS服务器实现C&C(命令和控制)通信、数据窃取操作。算法利用DNS流量中的交互行为特征,检测DNS隐蔽通道。

OGNL注入检测

OGNL注入指web应用程序对用户输入数据的合法性没有判断,攻击者通过构造带有攻击性的OGNL表达式,以此实现命令执行的目的。算法基于HTTP交互行为特征识别OGNL注入,并支持攻击成功判定。

WebShell检测

基于流量行为特征检测未经加密和部分加密(如冰蝎、weevely、jweevely等)的WebShell,包括WebShell文件上传和与WebShell交互的场景。

RCE攻击检测

远程命令注入RCE是一种由于服务器应用漏洞导致黑客可以在服务器上执行任意命令的攻击。算法基于Web流量,通过攻击交互的行为特征识别命令注入,并支持攻击成功判定。

XXE攻击检测

XXE即XML外部实体攻击,是一种针对解析XML格式应用程序的攻击类型之一。此类攻击发生在当配置不当的XML解析器处理指向外部实体的文档时,可能会导致敏感文件泄露、拒绝服务攻击、系统命令执行等危害。算法基于XXE页面攻击特征识别注入行为,并支持攻击成功判定。

相关文档