功能特性

本地网络边界防护

天关部署在租户网络边界，通过入侵防御、反病毒、DNS过滤等技术守护本地安全，租户订购边界防护与响应服务后，天关可以执行以下防护动作：

• 对流量进行入侵防御检测，全方位防御各种威胁行为。
• 对流量进行反病毒处理，有效避免病毒文件引起的数据破坏、权限更改和系统崩溃等情况的发生。
• 对流量进行DNS过滤，全面控制域名访问。

租户数据安全处理

• 数据授权：在用户授权前提下，本地天关仅提供用户授权范围内的数据。
• 加密传输：本地天关采用HTTPS或TLS协议将日志提供到云服务平台。
• 加密保存：使用华为公司密钥管理中心（KMC）加密组件对数据进行加密，加密后存储在华为乾坤。
• 处理原则：仅供云服务平台运营专家进行威胁分析和溯源。
• 信息隔离：每个客户都有自己的服务账号，基于账号接收分析报表和短信，不同客户间信息隔离。

自动化分析

华为乾坤基于分析模型对威胁事件进行分析判定，并根据判定结果执行不同的处置。租户可依靠华为乾坤的自动化分析能力和安全专家简化本地运维，提升防护实效。

自动化分析以后，可以有如下几种处置方式：

• 事件命中误报模型，则此事件状态变更为误报。
• 事件命中告警自动确认模型、威胁分析等模型，则自动化分析将请求安全响应执行相应的处置。
• 在自动化分析的基础上，安全专家进一步分析处置事件。

安全响应

提供安全事件的响应闭环能力，主要包括下发黑名单、发送告警两种安全响应动作，租户可利用华为乾坤的安全响应能力有效提高安全事件的闭环效率。

针对以下场景提供下发黑名单、发送告警两种安全响应动作：

• 自动化分析判定后可以自动处置的事件，自动化分析将请求安全响应下发黑名单或发送告警。
• 自动化分析判定后需要安全专家处置的事件，安全专家分析后可通过Portal页面的事件管理菜单人工下发黑名单或发送告警。
• 租户在租户门户中下发黑名单。

安全专家精准分析

华为乾坤安全专家整合安全能力，快速准确识别复杂威胁：

• 现网对抗经验固化到华为乾坤，不断增强华为乾坤安全能力。
• 最新漏洞分析、华为乾坤智能签名生产，快速应对新型威胁。
• 安全专家针对发现的每一条安全告警进行统一分析，运用华为乾坤各种安全能力，解决最新“疑难杂症”。