xufeng.zhang
发布于 IP属地北京

【全悉】T-ANSWER高级威胁分析预警系统 产品介绍

产品简介

全悉(T-ANSWER)是一款全流量威胁检测与响应产品(NDR),产品以智能语义分析引擎2.0为核心,结合人工智能模型、行为模型、威胁情报、下一代入侵检测、文件动静态检测等能力于一体,构建新一代网络流量检测、狩猎、溯源、响应全流程,在高级威胁蔓延的网络环境下,提供有效的0day/APT/变种威胁/加密流量等高级威胁及其他常见入侵威胁的全面感知和响应。

产品架构

全悉(T-ANSWER)系统架构主要划分为三个平面:数据采集处理平面、威胁检测平面和功能展示平面。全悉(T-ANSWER)采用Docker技术架构,不仅支持在传统IDC网络环境下通过硬件方式进行部署,也支持容器化部署,可实现云上业务流量监控,并提供良好的集群能力和平滑扩展能力,从容应对高并发、大流量等场景。

产品能力

1.高级威胁检测:融合长亭智能语义分析2.0、人工智能、机器学习、知识图谱、攻防模型、威胁情报以及大数据智能引擎等核心技术能力,实现对攻击杀伤链(Cyber-Kill-Chain)的全覆盖,同时结合动态沙箱检测技术,实现对未知病毒、木马等未知恶意程序的有效识别,极大提升对0day、变种威胁以及APT等高级威胁的检测能力。
2.全流量威胁检测:在检测能力上,具备Web攻击检测、勒索病毒检测、挖矿行为检测、加密流量检测、隐匿隧道检测、内网横移检测、流行渗透工具(红队武器)检测、文件检测、DGA域名检测等威胁检测能力,满足大部分场景下的网络威胁检测,补充客户的安全检测综合能力。
3.威胁智能溯源研判:实时对网络流量进行采集、解析、分类及存储,记录全流量数据用于攻击回溯取证及扩线分析。通过攻击者视角、受害者视角、威胁事件视角对攻击事件进行多层自动聚合分析,以及告警结果的自动研判,同时基于底层图数据库运用知识图谱技术构建自动化溯源体系,快速聚焦真实有效攻击事件并进行智能溯源研判,实现提效降噪,提高安全运营效率。
4.威胁响应处置:通过旁路阻断、防火墙联动封禁以及蜜罐联动主动诱捕实现对攻击事件的闭环处置。

产品核心技术优势

  • 智能语义分析引擎2.0,有效检测0day、变种攻击、APT攻击
    基于长亭核心语义分析引擎技术,再次重磅升级。在原有“智能语义分析1.0”基础上升级模型算法,推出“智能语义分析2.0”升级版,扩展更多非HTTP协议的智能语义分析能力,实现对网络全流量会话的智能分析,同时结合威胁学习模型,主动识别攻击行为,不断增强和完善“大脑”的分析能力,可大幅提高威胁事件的检出率同时降低事件误报率,有效检测0day攻击、变种攻击以及APT等攻击事件。
  • AI恶意加密流量检测,有效检测加密反弹Shell、隐秘隧道以及利用冰蝎、蚁剑、哥斯拉、CobaltStrike、Metasploit等工具的加密入侵行为。
    全悉通过对加密流量的指纹特征、网络行为、证书交互、包大 小特征、包时序特征、载荷字符特征、攻击工具特征以及人际交互行为特征等关键要素建立特征集合,利用人工智能算法构建智能分析判别模型,同时关联异常事件,能够在加密流量不解密的场景下,有效检测加密反弹Shell、ICMP隐秘隧道、DNS隐秘隧道、HTTP隐秘隧道,以及利用冰蝎、蚁剑、哥斯拉、CobaltStrike、Metasploit等工具的加密入侵与通信行为。
  • 红队武器库检测,充分融入长亭核心攻防能力,提供超过200种攻击队武器库检测与识别
    “善守者,必先知其攻”,全悉支持超过200+种红队武器检测与识别,具备超过5000+种实战检测规则和基于红队武器行为的智能检测模型,帮助企业补全实战攻防背景下的红队武器视角,提升业务实战风险运营、实战攻防演练中的红队威胁对抗能力。

产品部署

  • IDC环境硬件部署

    全悉(T-ANSWER)探针采用旁路部署模式:通过流量镜像方式将需要检测的网络节点流量发送至全悉检测探针进行综合威胁检测;
    单点部署:部署全悉检测探针,提供全流量威胁检测,探针包含流量检测、元数据存储、沙箱及分析展示功能
    分布式部署:部署N全悉检测探针+ 1集中管理平台
  • 云上部署

    部署方案:
  1. 在云上部署云端全悉检测中心,接收流量进行检测和分析
  2. 在云网络边界通过物理镜像方式将流量镜像至全悉检测中心
  3. 在云内业务ECS主机部署Agent进行南北东西向流量采集
  4. 通过Agent将采集的流量加密后转发至全悉检测中心
    部署优势
  • 无需用户给云服务商支付流量费用
  • 提供流量威胁检测分析
  • Agent内存占用率小于1%
  • Agent在系统负载过高时主动降级
  • Agent发送异常时,主动自杀机制

应用场景

1.日常安全运营&等保合规
场景描述:
在企业日常的安全运营活动中,安全人员针对企业运营要求发布网络使用及操作规范,多次进行企业内部培训宣导,但经过抽调检查结果显示收效甚微。同时企业又面临等保评估的工作压力,网络安全工作缺乏对流量监控的工具和措施。全悉(T-ANSWER)可以为企业日常安全运营工作以及等保合规提供重要保障服务。
方案能力:

  • 通过旁路部署方式接入企业现有网络架构,对需要进行审计的流量进行安全检测,发现常见的网络安全风险。如系统中弱口令、数据明文传输等脆弱性风险;常见的网络攻击手段等;
  • 日常运营工作中,发现内网存在失陷、远控问题的主机,及时进行安全排查,减小网络安全风险;
  • 针对等保2.0中的二/三及系统对于入侵防范、未知威胁检测的技术要求,提供有力的网络安全保障。

2.高级威胁事件检测与响应处置
场景描述:
境外的一些APT组织或黑客组织经常会关注一些高机密、高敏感性的单位,并对这些单位进行定向的高级攻击,在这期间往往会制作当前安全设施检测不出来的新型恶意程序和未经曝光的漏洞利用。单位亟需增加有效的监测发现手段,同时及时配合网络监管部门对高级持续性威胁进行溯源和处理
方案能力:

  • 智能语义分析2.0、人工智能检测技术结合文件检测、动态沙箱检测技术,对攻击的全生命周期进行覆盖,提升对于未知威胁和APT攻击的监测能力;
  • 在设备上保留网络攻击、网络流量的行为数据,提供配套的专业安全服务人员对相关事件进行溯源追踪。

3.实战攻防红蓝对抗
场景描述:
近些年,网络空间对抗逐步呈现实战化趋势,高级威胁不断蔓延,持续升级。各企业单位为保障网络安全,提升网络安全事件的响应能力,组织了一系列网络实战攻防演习活动,绝大多数企业单位作为防守方,需要针对高级威胁有应对之法,实现面对告警从容不迫,对于事件响应有理有据。
方案能力:

  • 对网络全流量进行智能分析检测,有效检测0day攻击、加密恶意流量、各种红队武器以及潜在的APT行为;
  • 结合实战场景,从侦察-入侵-载荷投递-命令与控制-横向渗透-目标达成多个阶段对流量进行检测覆盖,清晰地展现出攻击路径和手法,提供溯源依据;
  • 基于攻防视角对事件进行告警聚合分析,辅助用户快速聚焦重点安全事件,提高安全响应效率;
  • 除了专业的产品外,配套安全专家团队协助进行安全事件的排查和应急响应服务,用专业能力保障服务质量
    4.复杂业务架构威胁集约监控与管理
    场景描述
    在大型的企业单位组织中,需要对下属众多分支机构的网络安全状态进行检测,定期收集风险情况,发现流量中隐匿的高级威胁行为,留存网络攻击行为数据进行攻击溯源。在设备管理方面,总部进行安全统一集中管理,并将数据输出到态势感知平 台进行综合研判分析和响应处置。
    方案能力:
  • 满足分布式部署进行流量采集、解析和储存,统一集中管理平台对风险进行集中展示;
  • 发现流量中常见的威胁事件,为预警通告提供依据;
  • 基于语义分析、机器学习以及动态沙箱技术多维度监测高级威胁,提升APT事件发现能力;
  • 输出威胁告警事件至态势感知平台,为全网态势感知监测提供数据来源。
关于产品
浏览 (1480)
点赞 (4)
收藏
打赏
评论