功能特性
本地网络边界防护
天关部署在租户网络边界,通过入侵防御、反病毒、DNS过滤等技术守护本地安全,租户订购边界防护与响应服务后,天关可以执行以下防护动作:
- 对流量进行入侵防御检测,全方位防御各种威胁行为。
- 对流量进行反病毒处理,有效避免病毒文件引起的数据破坏、权限更改和系统崩溃等情况的发生。
- 对流量进行DNS过滤,全面控制域名访问。
租户数据安全处理
- 数据授权:在用户授权前提下,本地天关仅提供用户授权范围内的数据。
- 加密传输:本地天关采用HTTPS或TLS协议将日志提供到云服务平台。
- 加密保存:使用华为公司密钥管理中心(KMC)加密组件对数据进行加密,加密后存储在华为乾坤。
- 处理原则:仅供云服务平台运营专家进行威胁分析和溯源。
- 信息隔离:每个客户都有自己的服务账号,基于账号接收分析报表和短信,不同客户间信息隔离。
自动化分析
华为乾坤基于分析模型对威胁事件进行分析判定,并根据判定结果执行不同的处置。租户可依靠华为乾坤的自动化分析能力和安全专家简化本地运维,提升防护实效。
自动化分析以后,可以有如下几种处置方式:
- 事件命中误报模型,则此事件状态变更为误报。
- 事件命中告警自动确认模型、威胁分析等模型,则自动化分析将请求安全响应执行相应的处置。
- 在自动化分析的基础上,安全专家进一步分析处置事件。
安全响应
提供安全事件的响应闭环能力,主要包括下发黑名单、发送告警两种安全响应动作,租户可利用华为乾坤的安全响应能力有效提高安全事件的闭环效率。
针对以下场景提供下发黑名单、发送告警两种安全响应动作:
- 自动化分析判定后可以自动处置的事件,自动化分析将请求安全响应下发黑名单或发送告警。
- 自动化分析判定后需要安全专家处置的事件,安全专家分析后可通过Portal页面的事件管理菜单人工下发黑名单或发送告警。
- 租户在租户门户中下发黑名单。
安全专家精准分析
华为乾坤安全专家整合安全能力,快速准确识别复杂威胁:
- 现网对抗经验固化到华为乾坤,不断增强华为乾坤安全能力。
- 最新漏洞分析、华为乾坤智能签名生产,快速应对新型威胁。
- 安全专家针对发现的每一条安全告警进行统一分析,运用华为乾坤各种安全能力,解决最新“疑难杂症”。