更新时间:2023-11-06 GMT+08:00
什么是边界防护与响应
边界防护与响应服务使用天关为租户的本地网络提供边界防护,并基于天关提供的日志进行智能分析和处置,持续保护企业内网安全。华为乾坤通过集成告警自动确认、威胁分析等检测模型,智能识别租户本地网络的潜在威胁并完成自动化处置,从而帮助租户简化本地运维,提升安全防护实效。
逻辑架构
如图1所示,边界防护与响应由三个部分组成。
- 本地网络边界防护:部署在租户网络边界的天关提供入侵防御、反病毒、DNS过滤等能力,守护本地网络边界安全。
- 租户数据处理:华为乾坤的数据接入中心模块对天关侧的日志进行相关处理,并将各业务数据进行持久化存储。
- 威胁分析与处置:华为乾坤的威胁分析与处置模块获取各业务数据后,通过威胁检测、事件分析与响应、安全管理三个子模块协同工作共同完成自动化分析和安全响应。具体分析过程请参见图2。
威胁分析与处置
如图2所示,威胁分析与处置中心模块获取各业务数据后,通过威胁检测、事件分析响应、安全管理三个模块协同工作共同完成自动化分析和安全响应。
- 威胁检测:针对获取的日志,直接进行格式、字段等预处理后输出异常事件。
- 事件分析响应:对输出的异常事件依次进行聚合分析、自动化分析、安全响应。
针对输出的异常事件根据对应的聚合策略进行聚合分析,然后基于自动化分析模型对聚合后的事件进行自动化分析判定。对于命中分析模型的事件,由安全响应执行自动响应动作,在自动化分析的基础上,分析后的事件(包括命中或未命中事件)由安全专家进一步分析处置。
- 安全管理:为华为乾坤安全专家提供事件可视化Portal、事件人工处置能力,日常管理能力、安全响应管理能力等。
安全专家可以通过事件管理查看自动化分析后的事件;通过模型管理及时配置和调整自动化分析模型;通过响应管理完成黑白名单的日常维护工作。
父主题: 产品介绍
