功能特性
基于AI智能引擎的威胁检测
威胁检测服务在基于威胁情报和规则基线检测的基础之上,融入了AI智能检测引擎。通过弹性画像模型、无监督学习模型、有监督学习模型实现对风险口令、凭证泄露、Token利用、异常委托、异地登录、未知威胁、暴力破解七大IAM高危场景进行智能检测。通过SVM、随机森林、神经网络等算法实现对隧道域名、DGA域名以及异常行为的智能检测。
AI引擎检测保持模型对真实数据的学习,保证数据对模型的反复验证和人工审查,精准制定预过滤和后处理逻辑,结合先验知识,模型达成零误报。同时,以阶段性检测结果为输入,通过模型重训练和依赖文件定期更新持续优化模型,提升模型告警准确率。
实时检测,缩短风险处理周期
威胁检测服务采用实时获取统一身份认证(IAM)、云解析服务(DNS)、云审计服务(CTS)、对象存储服务(OBS)、虚拟私有云(VPC)的日志数据进行持续不断的检测,威胁检测服务在第一时间发现潜在威胁告警,您可在第一时间进行核查、处理,缩短潜在威胁的风险周期,大程度降低风险损失。
威胁告警按严重等级划分
威胁检测服务对检测到的告警结果通过告警的严重性等级(致命、高危、中危、低危、提示)进行统计,对告警结果进行详细的等级划分,帮助您确定威胁告警内容的响应等级,通过告警描述能及时对告警做出判断进行优先级处理。
告警信息支持转储满足合规要求
MTD检测到的告警结果默认存储最近30天数据,为满足等保合规要求,您可将MTD告警结果转存至OBS,实现数据的更长时间存储。
名单库管理策略
您可自定义上传和添加情报/白名单到OBS桶,异步同步到威胁检测服务,上传后检测服务将优先关联检测名单库中的IP和域名,及时发现(情报)/忽略(白名单)名单库中IP/域名地址的活动,降低检测响应时间,减轻服务运行负载。