CTO Plus技术栈EDR
终端侦测与响应系统
根据Gartner的定义,EDR是一种为了提高安全监测,威胁检测及应急响应能力而出现的工具或解决方案。EDR工具能够记录终端和网络上详细的事件信息,并将这些信息集中存储,然后进行深度检测、分析、研究和告警。工具能够持续不断地分析数据以尽早发现正在进行的攻击,并更快地对发现的攻击进行处理。是未知威胁以及APT检测领域的一个关键趋势。
Skip to content 
实时侦测与智能响应:EDR系统能够实时监控终端活动,自动识别异常行为,并通过智能算法快速响应,防止潜在威胁扩散,最大程度保护企业资产。 全面可见性:提供对所有终端的全面可见性,包括桌面、笔记本和移动设备,确保安全团队在第一时间掌握终端安全状态,优化安全决策。 深度分析与取证能力:通过丰富的取证功能,深入分析安全事件,助力追踪攻击路径和根本原因,为未来改进提供数据支持。 智能威胁检测:利用机器学习和行为分析技术,在攻击发生之前识别潜在威胁,降低误报率,提高检测效率。 自动化响应机制:支持自动隔离受感染的终端、终止可疑进程和收集信息,显著提高响应速度,降低人为干预所需时间。 实现安全基线和攻击免疫防护,有效防护已知老旧漏洞的利用攻击。 提供基于机器学习病毒扫描引擎快速高效定位能力,快速定位未知恶意程序、病毒攻击。 具备内网横向攻击的深度调查、感知和溯源分析能力,缩短高级攻击的影响周期。 智能的检测和分析手段,基于用户实体行为分析,高效防范终端上重要数据的泄漏。 实现设备资产准确识别,确保移动介质的使用安全。 有无文件攻击防护。 终端清洁/主动终端硬化。 专注于简单性和轻量级。 EDR也对服务器和云的终端安全方面应用。 基于内核模式的深度可见性检测。 提高事件的响应能力,缩短攻击的影响周。 支持私有云部署方式,满足国内大型企业的安全需求。 对ATT&CK攻击矩阵指标达到95%以上的覆盖率。 基于机器学习病毒扫描引擎快速高效定位威胁。 终端免疫安全防护威胁。 IOA 规则数量支持在线更新,IOA规则支持180+类,IOC 数量大于 1000 万。 与网络安全威胁情报中心(TIS)系统联动 与漏洞库管理系统(TIS)系统联动 与脆弱性分析系统(VAS)系统联动 与威胁狩猎系统(THS)联动 与用户实体行为分析(UEBA)联动 与网络安全运营中心(SOC)联动
功能
无文件攻击检测
不仅可以阻止已知的基于文件的恶意软件的范围,而这种恶意软件已成为传统防病毒解决方案的领域。如今,无文件攻击和防止无文件攻击的需求正在上升,并且已被大多数网络安全从业人员认识到。在终端安全上使用机器学习来防止无文件攻击。
ATT&CK攻击阶段分析
整合ATT&CK知识库,对威胁事件进行ATT&CK建模,对攻击者的TTP进行检测、防御和响应。便于威胁分析人员后续对攻击者行为的理解,比如对攻击者所关注的关键资产进行标识,对攻击者会使用的技术进行追踪和利用威胁情报对攻击者进行持续观察。
威胁响应
通过主动防御框架(SDF)中的EIS组件与全网文件进行联动,对网络中发现的恶意文件进行全网主动拦截。对感染的终端进行隔离、关机等操作。
横向移动行为检测
支持的常见网络异常行为的检测包括:登录失败检测、暴力破解检测(telnet、ftp、rdp)、端口扫描检测、异常通信检测、异常主机检测,以及弱口令检测、敏感操作命令检测。
威胁攻击指标(IOA)
支持系统内置近200中IOA检测,以及支持自定义异常行为检测告警。适用于Windows、操作站、Linux、机器人、云主机和国产等系统。
威胁情报系统
通过对威胁情报的收集、处理可以实现较为精准的动态防御,在攻击未发生之前就已经做好了防御策略。
功能特点
关联产品
应用场景
适用于工业企业、IDC运维中心、企业信息化部、自动化运维、网络管理、资产监控、资产配置核查、自动化巡检等方面的应用。选择《资产配置管理系统(CMDB)》,让资产管理变得更加高效与透明,助力企业在数字转型过程中实现资源的最优配置和风险控制,为未来发展奠定坚实基础!
联系我们