产品优势

全面的实时监测体系

安全感知平安体从脆弱性、外部攻击、内部异常进行三大维度的安全实时监测能力构建，来达成全面的检测体系。包括：

• 脆弱性：以业务资产为核心，寻找暴露面。

• 外部攻击：寻找基于攻击突破的入口点及攻击绕过情况，结合脆弱性感知来针对性的调整防御策略，决策加固方向。

• 内部异常：寻找已经被入侵成功的失陷主机及内鬼，揪出已在内部潜伏的威胁，避免继续受损及影响扩散。

多维度的安全可视预警

基于宏观视角，展示整体安全情况，能清楚的了解当前网络安全状况、评级分数、爆发的重大事件等，并能评估防御不足还是内部威胁，决策哪里需要加固。

主要用于领导层面掌握全网态势：

• 全局视野呈现全网态势

• 辅助安全建设决策

宏观视角主要以大屏展示为主，以1个主大屏 + 15个辅助大屏组合呈现整体安全现状和细分安全情况。

主大屏（综合安全态势）

主屏基于安全域视角，展示全网各个区域的整体安全实况及综合评级。该大屏为三层结构，一层展示重要风险，不是简单统计，而是从通报视角、资产可视、威胁视角、区域横向威胁、外部威胁等多个角度呈现重要问题，让预警更有价值。二层为各视角的详细展示的大屏。三层为各视角大屏下钻后的运维数据层面，展示风险问题的最终原始数据支撑数据，让证据更明显。

多个分层大屏均实现下钻能力，可通过点击各具体内容一步步下钻到具体详情，最终到日志数据及问题指派，并支持快捷键返回，以此形成可分析、可指派的安全监测指挥中心。

辅助预警大屏

目前共有15个辅助大屏，围绕主大屏进行多个视角的详细展示，并支持下钻挖掘分析。具体呈现如下：

• 资产态势大屏：

能够监控资产态势，自动识别服务器、终端分布，帮助用户直观地看清新增资产状况。

• 脆弱性大屏：

能够监控服务器的脆弱性风险，包含漏洞风险、配置风险、弱密码、明文传输等。

• 网络攻击态势大屏：

能够监控来自外部地攻击，直观地展示内部网络在全球范围内面临的攻击威胁，攻击源地理位置、攻击手段、被攻击业务一目了然。

• 正常横向访问监控大屏：

能够直观地展示内部横向正常访问的可视、看清内部业务、终端之间的正常访问关系。

• 正常外连监控大屏：

能够直观地展示正常外连的可视，看清内部网络访问了外部哪些地区，哪些业务或终端的对外访问最多。

• 外连风险监控大屏：

展示所有业务系统、服务器对互联网发起的异常访问行为（已排除白名单通信和正常访问行为），用于监视服务器是否存在的未知威胁，并从中标识存在风险的外连行为、访问的区域、访问目标是否为控制者及当前的外连态势。

• 3D网络攻击态势大屏：

基于GIS全球、全国地图方式，实时展示当前、历史（可选择）的互联网攻击威胁，包括攻击次数、攻击排行、攻击来源区域排行、境内境外区分等，实时反映当前网络攻击态势，及时关注来自境外的威胁。属于外部攻击态势大屏的下钻大屏。

• 横向威胁监控大屏：

基于可视化的方式展示内网主机攻击其他内网主机的情况，用于可视内网横向攻击、横向异常访问的整体情况，识别内网可疑跳板机或异常内鬼。

• 分支安全态势：

针对多分支场景（或多下属单位管理等），基于GIS的区域地图展示形式，直观的展示整体分支安全情况、分支排名、各分支的安全事件处理进度、安全改进之星（改进明显），并能根据分支安全趋势进行整体危害预测，为下一步管理分支工作提供依据。

• 安全事件展示大屏：

基于防通报视角，实时展示当前发生的安全事件、爆发后影响面最大的事件及分区展示各事件的指派、处置跟进情况。适用与通报监控，或针对重大事件（如勒索病毒）的监控尤其有效。

• 工单系统态势大屏：

能够在通报场景下，直观地、全局地监控到各个单位的通报情况以及排行。

• 设备运行态势大屏：

动态展示潜伏威胁探针、防火墙接入平台状态，显示设备在线、离线、CPU、磁盘使用情况，及时发现设备异常。

• 战时活动指挥调度大屏：

汇总平台风险服务器、安全事件、外部攻击、资产处置整改等数据，可了解全局安全状况，为指挥调度提供数据支撑；同时提供值班人员信息，方便掌握值班人员到位情况。

• 资产监控大屏：

呈现当前内网资产情况，包括活跃资产、异常资产、新增资产等，实时展示新增资产情况及脱离管控资产情况，协助发现影子IT资产。

• 重点业务监控大屏：

帮助客户看清重点业务的流量趋势、脆弱性、安全事件等风险问题，以便实时掌握重点系统的安全情况。

易运营的运维处置

为固化工作流程，简化运维，本方案专门构建了一套基于“应急处置 -> 影响面分析 -> 入口点溯源 -> （外传数据）会话分析”的分析处置逻辑链，当安全事件发生时，运维人员通过固化的处置逻辑流程即可快速完成处置。

可感知的威胁告警

为便于运维体验和安全专家分析，安全感知平台创新性的设计可感知的安全告警，让威胁具有易识性、易理解。

1. 标签化

通过打标签形式，将每个安全事件告警以其分类、检测技术、家族名称等以短名称的颜色标签进行表示，每个标签均提供详细说明，以如下形式，很容易就清楚为勒索病毒事件：

2. 描述性评级

如下所示，为更易理解所发生的安全事件的重要性和紧迫性，安全感知平台对每个事件均提供“失陷确定性”、“威胁等级”两个描述性评级。前者由于指示当前事件对评估主机是否已失陷的确定性等级（即是否能直接证明主机失陷了），后者为主机发生该类事件对内外网的影响程度。

3. 故事化的关联分析

结合安全感知平台探针组件的细粒度采集能力和平台智能分析能力，能覆盖整个攻击链的所有攻击流程，检测攻击者的每个阶段发起的所有安全事件和造成的影响。

对于发生的所有安全事件，通过内置关联模型，能基于事件的时序性、发包大小、相关安全日志和脆弱性等进行关联分析，形成具有承上启下的安全事件关联集，并围绕被攻击者的攻击链视角进行呈现和告警。如根据主机遭受RDP暴力破解后，出现永恒之蓝内网传播，来告警可能中了Globeimposter勒索病毒；或发现内网某服务器遭受永恒之蓝攻击，能关联该服务器是否存在永恒之蓝漏洞，来及时预警。