文档首页> 华为乾坤> 华为乾坤解决方案> 等保合规解决方案> 方案概述> 关键特性
更新时间:2023-11-03 GMT+08:00
查看PDF
分享

关键特性

边界防护与响应服务

表1 边界防护与响应服务功能描述

功能

描述

自动化分析

云端基于分析模型对安全日志进行分析判定,并根据判定结果执行不同的处置。租户可依靠云端的自动化分析能力提升防护响应速度。

自动化分析以后,可以有如下几种处置方式:

  • 事件命中误报模型,则此事件状态变更为误报。
  • 事件命中告警自动确认模型、威胁分析等模型,则自动化分析将请求安全响应执行相应的处置。
  • 在自动化分析的基础上,安全专家进一步分析处置事件

安全响应

提供安全事件的响应闭环能力,主要包括下发黑名单、发送告警两种安全响应动作,租户可利用云端的安全响应能力有效提高安全事件的闭环效率。

针对以下场景提供下发黑名单、发送告警两种安全响应动作:

  • 自动化分析判定后可以自动处置的事件,自动化分析将请求安全响应下发黑名单或发送告警。
  • 自动化分析判定后需要安全专家处置的事件,安全专家分析后可通过Portal页面的事件管理菜单人工下发黑名单或发送告警。
  • 租户在租户门户中下发黑名单。

云端专家精准分析

云端专家整合安全能力,快速准确识别复杂威胁:

  • 现网对抗经验固化到云端,不断增强云端安全能力。
  • 最新漏洞分析、云端智能签名生产,快速应对新型威胁。
  • 专家针对发现的每一条安全告警进行统一分析,运用云端各种安全能力,解决最新“疑难杂症”

资产暴露面风险监测

采用流量实时分析技术与云端探测相结合的方式,对暴露面进行精确识别和活跃度持续跟踪,快速感知暴露面风险,做到一目了然且有据可查。

极致体验
  • 定期安全报告定期自动生成周报、月报,并通过邮件发送至用户邮箱
  • 事件紧急通知:通过短信、邮件两种方式通知用户
  • 安全态势大屏:提供全局的攻击防御大屏展示

漏洞扫描服务

表2 漏洞扫描服务功能描述

功能

描述

漏洞扫描

漏洞扫描支持系统扫描、应用扫描等多种扫描类型,并为扫描出的漏洞提供修复建议。同时支持漏洞扫描报告下载。

资产发现

基于客户提供的IP网段,主动发现网段内的联网资产。经客户确认后,支持资产一键录入,提高资产梳理效率。

漏洞管理
以漏洞视角呈现每个漏洞的详细信息和关联资产。
  • 详细信息包括漏洞名称、漏洞编号、漏洞优先级评级VPR和修复建议等。

    漏洞优先级评级VPR(Vulnerability Priority Rating)用来表示漏洞修复优先级,是漏洞扫描服务基于漏洞利用代码成熟度、漏洞公布时长、产品的覆盖率、CVSS评分等多维度数据,通过机器学习算法计算的漏洞风险评分。分数越高,说明越需要优先修复。

  • 关联资产能够帮助客户快速定位到风险资产,使漏洞修复更有针对性。

边界漏洞免疫(自动消减处置措施)

一般情况下,漏洞是通过在资产上安装补丁进行修复。当客户的实际环境无法满足安装补丁的条件,又希望降低被攻击风险时,可以利用天关/防火墙的入侵防御(IPS)能力,设置漏洞关联的IPS签名动作为“阻断”,通过在边界拦截异常流量,缓解漏洞被利用的风险。漏洞关联的IPS签名ID会被查询出来,显示在漏洞详情的界面中。

天关/防火墙侧的IPS签名动作一般有“告警”和“阻断”两种。

  • 如果签名动作为“阻断”,则表示天关/防火墙会阻断异常流量。漏洞被利用的风险低。
  • 如果签名动作为“告警”,则表示天关/防火墙只产生告警,不会阻断异常流量。漏洞可能会被利用。
    天关/防火墙侧的IPS签名动作是根据长期运营数据统计结果进行设置的,请不要随意修改。如果一定要修改,请在右上角的帐号下,单击“我的工单”,提交工单寻求解决方法。
    说明:

    使用本功能时,天关/防火墙需要联网,且可以自动升级特征库,以便保持特征库为最新版本。

云日志审计服务

表3 云日志审计服务功能描述

功能

描述

日志采集/存储
  • 支持接收不同类型资产(如服务器/终端、网络设备、安全设备、业务系统等)所产生的日志,将日志留存在云端,实现日志的集中管理和存储。
  • 支持解析多种格式及多种来源的日志,将其标准化。
  • 支持日志审计留存在云端,支持180天的日志留存时长。

日志查询
  • 支持用户按需实时查询日志信息,查询条件包含时间、日志级别、日志类型、资产名称、源/目的IP地址和端口等。
  • 支持多关键字组合精确查询日志。

审计资产管理
  • 支持增加多种类型的资产,如服务器、终端设备、网络设备、安全设备等,并对资产的等级进行标识,为客户判断是否需要进行日志审计提供参考信息。
  • 支持灵活管理需要审计的资产。

日志审计统计数据可视化
  • 支持查看当前所有日志数量以及各日志级别的日志数量。
  • 支持按时间段查看日志容量使用趋势和日志数量趋势,如近7天、近一个月。
  • 支持查看当前审计的资产数量及类型。
  • 支持查看每天上报日志最多的TOP10资产。

终端防护与响应服务

表4 终端防护与响应服务功能描述

功能

描述

终端识别与管理
  • 终端自动识别:提供自动化终端资产清点能力,安装EDR Agent后,该终端即被自动识别。
  • 资产信息管理:自动化统一管理主机列表、进程、端口、组件等终端资产信息。
  • 终端安全管理:智能分析终端安全,呈现终端资产安全分析评分和风险总览。

威胁检测与处置
  • 入侵检测:基于行为检测引擎,提供终端行为检测能力,检测暴力破解、异常登录、权限提升等恶意行为。
  • 事件聚合:将离散的勒索类告警事件,基于进程调用链聚合成相应的勒索事件,且支持对其一键处置。

病毒查杀与处置
  • 病毒查杀:基于华为第三代反病毒引擎,每日更新病毒特征库,实时更新紧急病毒,提供高质量病毒文件检测能力。
  • 威胁分析:支持对检出的病毒文件进行威胁分析,展示详细的威胁信息,如病毒标识、风险值、置信度等。

主动防御
  • 诱饵捕获:基于勒索病毒特征放置诱饵文件,实时检测并及时上报异常行为。
  • 文件防篡改:对重点文件进行访问权限控制并实时检测,及时发现篡改行为。
  • 实时防护:实时扫描全盘目录,及时识别病毒文件并阻断其传送行为。

溯源分析
  • 取证分析:采集和存储终端信息,并通过数据挖掘、关联分析等方法,对威胁事件进行取证分析。
  • 攻击可视化:通过EDR( Endpoint Detection and Response,端点检测与响应)数字化建模、溯源推理算法,实现攻击可视化,精准还原威胁攻击链路。
父主题: 方案概述
分享:

    相关文档

    相关产品