更新时间:2024-08-05 GMT+08:00
分享

什么是边界防护与响应

边界防护与响应服务使用天关为租户的本地网络提供边界防护,并基于天关提供的日志进行智能分析和处置,持续保护企业内网安全。华为乾坤通过集成告警自动确认、威胁分析等检测模型,智能识别租户本地网络的潜在威胁并完成自动化处置,从而帮助租户简化本地运维,提升安全防护实效。

逻辑架构

图1所示,边界防护与响应由三个部分组成。

  • 本地网络边界防护:部署在租户网络边界的天关提供入侵防御、反病毒、DNS过滤等能力,守护本地网络边界安全。
  • 租户数据处理:华为乾坤的数据接入中心模块对天关侧的日志进行相关处理,并将各业务数据进行持久化存储。
  • 威胁分析与处置:华为乾坤的威胁分析与处置模块获取各业务数据后,通过威胁检测、事件分析与响应、安全管理三个子模块协同工作共同完成自动化分析和安全响应。具体分析过程请参见图2
图1 逻辑架构

威胁分析与处置

图2所示,威胁分析与处置中心模块获取各业务数据后,通过威胁检测、事件分析响应、安全管理三个模块协同工作共同完成自动化分析和安全响应。

  • 威胁检测:针对获取的日志,直接进行格式、字段等预处理后输出异常事件。
  • 事件分析响应:对输出的异常事件依次进行聚合分析、自动化分析、安全响应。

    针对输出的异常事件根据对应的聚合策略进行聚合分析,然后基于自动化分析模型对聚合后的事件进行自动化分析判定。对于命中分析模型的事件,由安全响应执行自动响应动作,在自动化分析的基础上,分析后的事件(包括命中或未命中事件)由安全专家进一步分析处置。

  • 安全管理:为华为乾坤安全专家提供事件可视化Portal、事件人工处置能力,日常管理能力、安全响应管理能力等。

    安全专家可以通过事件管理查看自动化分析后的事件;通过模型管理及时配置和调整自动化分析模型;通过响应管理完成黑白名单的日常维护工作。

    图2 威胁分析与处置

相关文档