安全态势感知vSIP
应用场景
更新时间: 2022-08-30 21:06:00• 安全大脑场景
1. 安全是割裂的,信息也是割裂,对问题的处置和响应也是割裂的。因此,需要安全大脑。
2. 安全大脑首先是将所有分区的网络信息进行全局汇总,其次是对所有信息进行分析并给出决策建议。
3. 通过安全运营中心,激活其他安全服务,创造新价值。
4. 通过平台与安全服务间联动,告诉用户安全感知平台作为“安全大脑”的作用。可指挥其他设备进行联动防御(通过大脑控制“手”“脚”“眼”)。
高级威胁防护场景
助企云高级威胁防护是通过安全态势感知平台,结合边界下一代防火墙服务、主机安全防护EDR和高级威胁分析服务MDR,以全流量分析为核心,利用威胁情报、UEBA、机器学习、大关联分析等技术,对全网的真实流量进行实时检测与分析,及时发现内网潜伏威胁和失陷主机,联动安全组件进行快速响应,有效防护各类已知威胁和高级威胁。
攻防对抗场景
1. 重保中心、对抗职守:
护网实战视角,实时监测和防护,界面上进行统一的实时攻击分析,解决传统日志检索太细、日志太多,而安全事件又太粗不够实时、检索不够灵活的问题。
攻击者分析:在攻防场景来说,工程师最有效的措施就是封锁攻击者,能够快速导出所有攻击者的方式,能够直接去防火墙上处理,或者直接界面上一键封锁。
2. 自动化联动响应(vSIP) :
提供联动封锁api接口(包含ip网段,url,域名,定时封锁,黑白名单)
a. 支持IP网段,地域,url,域名配置的封锁
b. 支持设置某些策略设置自动联动封锁
c. 支持vSIP的事后检测的威胁情报自动下发给vAF,包含vSIP检测后发现的黑名单,vSIP自定义的规则(如文件md5值等)
3. 攻击入口点溯源(vSIP):
以时间轴的维度去展示单个主机相关的攻击行为,展示主机失陷全过程的攻击信息,辅助分析师溯源,搞清楚前因后果,以便于加在总结汇报,更好的得分;
4. vSIP上报日志给MSS(安全运营服务):
a. 研判:vSIP将安全事件上报给MSS后,需要配套上报相关的日志及其他必要的详细信息,如数据包等,以便于后端专家看到更详细的信息进行研判和分析;
b. 威胁狩猎:vSIP将尽可能全的日志上报给MSS,以便云端专家进行人工的威胁狩猎。
上一篇:DDoS防护 
