安全感知平台(SIP)
SCSA 6题库(60道)
SCSA 61、[AC]审计windows客户端版QQ聊天内容可以通过下列哪类策略实现?——[单选题]A 准入策略B 上网权限策略C 用户限额策略D 上网审计策略正确答案:A2、 [SSL]关于外置数据中心,下列说法正确的是?——[单选题]A 外置数据中心登录端口默认是443B 外置教据中心日志默认保存180天C 外置数据中心使用UDP514成端口通信D 外置数据中心可以使用Redha t系统安装Sangfor Certified securiy正确答案:B3、[AC]AC路由部署在公网出口,内网用户通过AC进行上网行为控制,客户要求审计内网用户的所有上网行为.结果发现内网有大部分的应用(包括邮件、QQ回天内容)没有审计到,下列说法错误的是?——[单选题]A 检查内网电脑的IF是否添加到了AC的全局排除地址列表中B 检查AC上多功能序列号是否开启了'SSL内容识别”功能,若未开启则审计不到邮件或QQ 聊天内容C 检查客户电脑是否通过加密方式发送的邮件,如果是需要在AC上开启SSL内容识别功能才可以审计到D 检查客户电脑是否是非windows系统的PC,例如MAC系统或Lirux系统,这些系统无法监控QQ的聊天内容信息。
正确答案:C4、 [AF]下列哪项不属于热点事件预警与处置功能带来的价值点——[单选题]A —键生成安全防护策略,帮忙用户实现快速防护B 推送当前的热点事件到设备,让用户感知当前的外部威胁C 主动扫描用户关注的业务段,是否存在相应的风险D 被动分析相关流量,确认内网是否已被入侵正确答案:D5、 [SSL]下列关于sSL VPN的用户描述,正确的是?——[单选题]A 一个用户只能关联一个角色B 一个用户可以关联多个虚拟IP地址C 一个用户可以关联多个策略组D —个用户只能关联一个组正确答案:D6、 [AF]客户反馈漏洞攻击防护策略将正常业务拦截了,下列选项中,哪种方法能够放通业务且不影响策略正常运行?——[单选题]A 将源目的ip加入全局排除B 删除漏洞攻击防护策略C 将拦截业务的规则id动作改成允许D 直接绕开设备正确答案:C7、 LSIP]下列关于EDR与SIP对接的说法错误的是?——[单选题]A 对接配置中,只需要配置EDRs或SIP一端即可B EDR客户端可以与SIP进行对接C 对接的配置中,EDR端不支持认证帐号和密码的配置D 对接的配置中,SIF端支持认证帐号和密码的配置正确答案:C8、 [EDR]微隔离功能属于哪个授权模块?——[单选题]A 智防B 智控C 服务端防护D 智响应正确答案:B9、标准IPSEC VPN建立过程中,正常情况下第一阶段主模式协商双方交互多少次消息?——[单选题]A 5B 6C 3D 4正确答案:B10、[AF]下列哪项不是目前AF可以支持的动态路由协议?——[单选题]A RIPB OSPFC BGPD EIGRP正确答案:D11、[SSL]关于SSL VPN的策略组,下列哪项功能不能实现?——[单选题]A 用户拨上SSL VPH后,设置其自动跳转到关联的某个资源B 用户拨上SSL VPN后,限制其访问互联网C 用户拨上SSL VPN后,限制其使用vpn的带宽D 用户拨上SSL VPN后,设置其在每天凌晨2:00自动断开vpn正确答案:D12、 [AC]关于深信服上网审计技术,下列选项中说法错误的是?——[单选题]A 应用审计动作会对客户端有感知B 审计的前置条件是数据经过AC设备或者境像数据给ANC设备C 全局排除功能添加并启用后,会审计不到访回百度网页行为D 审计的前置条件是内网用户先完成用户认证正确答案:A13、[AC]关于不需要认证,下列选项中说法错误的是?——[单选题]A 不需要认证方式适用于对管理要求不高的上网场景B 单位不允许呼叫中心的办公电脑私自修改IP地址,可以固定IP,做不需要认证,绑定IP 和MAC地址C 跨三层场景,做不需要认证想获取到真实MAC地址只能通过跨三层识别功能实现D 动态获取IP地址场景,不能使用不需要认证正确答案:D14、[SIP]下列哪个不能使用SIP解码小工具进行解码?——[单选题]A utf-8B base64编码C unicodeD ur1编码正确答案:C15、 [AF]以下哪类网络攻击不属于DoS攻击?——[单选题]A Tear Drop攻击B IP Spoofing攻击C SYN F1ood攻击D ICMP F1ood攻击正确答案:B16、 [SSL]某客户反馈SSL VPN接入后无法访问资源,下列排查方法错误的是?——[单选题]A 尝试使用关联了内网所有网段资源的SSLVPN账号接入,再访问该资源B 在控制台使用ping命令测试SSLVPN到该资源服务器连通性C 尝试更换电脑测试,确认是否是客户端的问题D 在终端上使用ping命令测试资源的连通性正确答案:D17、[EDR]客户希望通过EDR获取内网终端资产的“责任人”及资产“位置”信息,请问如何满足?——[单选题]A 可以满足,不需要在MGR管理端设置终端必须上报的资产信息,终端安装Agent后默认会自动识别终端“责任人”和“位置”上报给MR管B 可以满足,不需要在MGR管理端设置终端必须上报的资产信息,终端安装Agent后默认必须要填写“责任人”和“位置”才能完成安装C 可以满足,在MGR管理端设置终端必须上报的资产信息包括“责任人”和“位置”,则终端安装Agent后必须要填写“责任人"和“位置才能完成安装D 无法满足此需求正确答案:C18、 [AC]下列关于设备链路负载功能说法错误的是?——[单选题]A 高校场景,支持结合负载均衡设备,做网桥模式的链路负载B 前置设备做tos标签,AC网桥模式支持联动实现选路C 不需要做应用/用户等选路时,可以使用默认负载策略,对线路进行负载D 路由/网桥/旁路模式都支持链路负载功能正确答案:D19、 19AH使用下面哪个协议号?——[单选题]A 52B 51C 53D 50正确答案:B20、[AF]下列哪个不是AF的僵尸网络防护支持的功能——[单选题]A 邮件杀毒B 异常流量检测C 木马远控D 恶意域名重定向(蜜罐)正确答案:A21、[AC]办公网中存在非法移动终端,会给企业带来隐患。
信息安全-安全感知平台(SIP)主打PPT
传统安全体系的挑战之三:响应慢
安全产品众多
WAF UTM
安全审计
漏扫
数据库审计 上网行为管理
下一代防火墙
邮件网关
IDS 抗DDOS
VPN
身份认证 防火墙
IPS 防毒墙
人力运维难度大
根因:安全人才数量少,难培养,不能多精;
如何应对?
构建一个可感知、易运营的安全大脑
外部威胁情报
数据中心
广域网 局域网
在“检测出具体是哪一种僵尸网络”问题上达到了平均90.3%的F值。
全局可视能力:宏观辅助决策
脆弱性可视
全网安全态势可视
外部攻击态势可视
内部横向威胁可视
全局可视能力:微观精准运营
业务维度可视
攻击链可视
详细威胁举证 影响面分析
协同响应能力:三级响应机制
一键阻断 用户提醒
安全感知系统SIP
数
据
探针STA
脆弱性检测
大数据
检测算法
访问关系
业务识别
构建准确的检测模型
交付&可视
整体安全态势 业务安全风险 业务访问关系 横向威胁分析 Kill chain趋势 异常行为画像 安全失陷举证
为业务决策服务的可视化
处置&响应
NGAF联动封堵 EDR联动查杀 上网行为管理联动提醒 安全专家人工服务
协同联动+人工服务
海量数据采集能力
华东某三甲医院
项目背景&部署方式
该医院安全建设非常完善,且内外网隔离环境让客户认为安全 没有问题。只到2017年7月该医院被卫计委对对于其官方网站发生 的篡改事件进行了通报。
客户寻找到多家厂商进行测试,均未发现问题。于是客户找到 我们为其进行安全检测:潜伏威胁探针部署在医院内外网核心交 换机上,安全感知平台部署在内网核心交换机上。
安全感知管理平台技术参数及功能要求
联动行为管理
支持联动原有行为管理设备,支持上网行为管理做资产用户名对接,精准识别终端资产责任人。(需提供截图打印加盖原厂公章证明)
★支持联动原有行为管理设备,支持与行为管理设备的联动,包含上网提醒、冻结账号等(需提供截图打印加盖原厂公章证明)
事后异常行为检测
具备元数据行为分析引擎:httpflow、dnsflow、adflow、icmpflow、maillflow等, 通过异常行为分析,结合各类机器学习算法完成未知威胁检测。包括:内网穿透、代理、远控、隧道、反弹shell等事后检测场景。
先进性
证明
为保障安全服务效果,满足数据和网络安全要求,所投态势感知平台产品厂商需通过可信云评估,提供相应的可信云认证报告
提供三年原厂质保及原厂免费现场服务,产品的安装、培训由原厂工程师完成实施。
二、
功能项
功能要求说明
性能规格
性能参数:网络层吞吐量≥1Gbps,应用层吞吐量≥500Mbps。
硬件参数:规格≥1U,内存大小≥8G,硬盘容量≥128G SSD,电源:单电源,接口:支持不低于6千兆电口+4千兆光口SFP。
配置要求
挖矿专项检测
支持挖矿专项检测页面,具备挖矿攻击事前、事中和事后全链路的检测分析能力,综合运用威胁情报、IPS特征规则和行为关联分析技术,如检测发现文件传输(上传下载)阶段的异常,对挖矿早期的准备动作即告警。
平台内置挖矿安全知识库,对常见的挖矿如:Bluehero挖矿蠕虫变种、虚拟货币挖矿、EnMiner挖矿病毒、PowerGhost挖矿病毒、DDG挖矿病毒、Docker挖矿、DDG挖矿变种、GroksterMiner挖矿病毒、Linux 挖矿木马、ZombieBoy挖矿木马等提供详细的背景介绍、感染现象、详细分析、相关IOC(MD5、C2、URL)、解决方案。
终端防护响应(EDR)解决方案
Contents
1 终端安全面临的问题 2 面向威胁,快速闭环的终端安全方案 3 方案价值 4 性能指标说明
繁杂的资产,难以定位的责任
IIS
分 散 的 信 息 资 产
apache
资产梳理表
人员
物理资产 软件资产
A部门 B部门
?
谁的资产?
谁对资产的安全问题负责?
暴力破解
暴力破解入侵防御:基于 Agent的RDP和SSH登录 日志检测,并且自动封堵 攻击源IP处理
Web后门上传防御
自动学习web系统目录文件 或变动的文件,基于本地与 云端特征库通过机器学习算 法检测引擎、数据流分析引 擎,判断恶意文件并加入隔 离区域
活跃僵尸程序行为防御
活跃僵尸程序防御:对服务器 外联的DNS请求、活动行为进 行持续监控,文件为已知的威 胁文件时,则自动进行文件隔 离操作
恶意文件检测
暴破入侵防御
入侵攻击检测
后门上传防御
WEB后门检测
活跃僵尸程序防御
热点事件检测
持续闭环的指导思路
响应
全网威胁定位 一键文件隔离 一键主机隔离 联动响应机制
预防-终端资产盘点管理
终端资产管理:全面盘点终端资产,包含服务器和PC终端。 资产责任人管理:每一台终端都有责任人,每一个安全事件责任到人。
业务安全域 数据库业务域 数据库业务域
应用提供者 DB应用角色 DB应用角色
应用服务 MySQL(TCP,3306) MySQL(TCP,3306)
应用使用者 OA业务域 研发业务域
策略动作 允许 允许
防御--基于AI的勒索病毒防御
SAVE
深信服人工智能杀毒引擎SAVE
【内部培训】安全感知平台+潜伏威胁探针
方案介绍– 对应的解决方案与产品
方案介绍---对应彩页4-8页:
1. 潜伏威胁探针 (Stealth Threat Analytics) STA 旁路在核心交换机以及核心业务区的接入交换区,抓取镜像流量
关键词:旁路,流量抓取
2. 安全感知平台 (Security Intelligent Platform)SIP 部署在内网,集中管理STA,收集STA抓取的日志,并且分析异常行 为,展示访问关系,可疑访问,攻击行为
关键词:业务资产可视,业务访问关系可视,安全感知
2、借由深信服/Gartner“防御,检测,响应”的理念, 向用户灌输防护被突破只是时间问题,不是是/否的问题。 需要持续检测和快速响应对抗快速迭代的攻防节奏。
关键词:持续检测
3、借由介绍黑客/攻击者的攻击路径与攻击向量,向用户灌输突破边 界以后,需要内网的安全设备起到安全纵深的作用。发现过去边界防 护忽略的内网攻击行为。
关键词: 集中管控,展示
2020/3/22
市场思路 – 销售模式
销售模式 ➢ 按探针需要支持的流量选型 ➢ 可视化平台为软件,目前搭配探针赠送,可配合超 融合一起安装销售
销售工具 http://200.200.1.200/cms/plus/list.php?tid=2353
➢ 报价 ➢ 彩页 ➢ PPT
2020/3/22
市场思路 – 整体解决方案
防御 ➢ AF ➢ WAF ➢ 云WAF
检测 ➢ 探针 ➢ 云检测/AF检测
响应 ➢ 安全服务 ➢ 微信告警
2020/3/22
• 引导预算 • 暂时不卖
2020/3/22
2020/3/22
网络安全等级保护:TOP客户案例分享
建立“持续、主动、动态、闭环”的 安全运营体系,持续地监测;主动地 服务;动态地调整,安全事件的闭环。
l 随需可得的高阶安全专家
云端高阶安全专家形成安全专家池,提出专家共享 模式。就安全问题的必要性自动介入更多的安全专 家或更高阶的安全专家,让用户在短时间内扩展出 专业安全团队,解决服务效果达不到预期问题。
数据中心 转运中心
数据中心 转运中心
分拨中心
分拨中心
分拨中心
分拨中心
配送站
配送站
配送站
配送站
配送站
安全接入多样化落地
补全组网短板 降低IT投入
组网最小单位从站点下 沉到人,安全传输更灵 活,管理更加集中,实 施成本更低
扩大使用规模 从驻外出差到全员推广
并发数量从千百级上升 到10万级,项目规模大 大提升
STAGE3技术认可
Ø 核心检测能力; Ø 安全可视能力; Ø 联动响应能力
STAGE2竞争测试
Ø 安恒:设备日志为主,流量为辅; Ø 360:威胁情报和设备日志为主,
流量为辅; Ø 深信服:全流量为主,威胁情报和
关键设备日志为辅
文广集团安全感知项目方案概览
Ø 核心检测能力:基于真实流量分析,使得大 数据分析、机器学习、人工智能技术实现真 正的安全检测能力落地,不存在第三方设备 日志分析的准确性问题;
Ø array无法依赖于自身做集群,只能主备模式部署,主备切换经常故障导致设备宕机,业务中断。 Ø 不支持多因素认证,仅支持双因素,身份认证手段单一。 Ø array日志审计不够完善,出问题后溯源能力匮乏。 Ø 与终端杀软等软件及最新版浏览器兼容性极差,增加大量的运维成本和压力。
组网方案延伸——SSL安全接入
智慧物联网安全解决方案
物联网
非授权物联网终端
授权物联网终端
物 联 网 安 全 准 入 系 统
建立边界可信,阻断非法接入,放行信任终端入网,伪造设备阻断
802.1X
802.1XMABportal
授权合规终端
非授权终端
授权不合规终端
端:物联网资产识别与准入
资产管理与可视物联网准入控制 漏洞管理威胁及时检测一键联动处置处置工单系统全网态势感知
安全挑战一:安全风险不可视
现有准入方式简单粗暴,哑终端、物联设 备等极容易被仿冒和替换前端设备多数部署在比较隐蔽的地方,现 有准入机制难以发现私接设备
过去取证主要基于IP和MAC的方式,但IP 和MAC都很容易被仿冒,无法对真实攻 击进行溯源取证经过多次路由转发或NAT转换难以跟踪到 源MAC或IP,定位难度加大
物联网建设以传统防护为主,攻击行为不 能持续检测,造成表面安全的错觉随着物联网建设规模扩大,难以准确定位资产风险系统自身存在漏洞、弱口令等脆弱性,而外部的挖矿病毒、勒索病毒等潜伏威胁日 益剧增,海量安全日志看不全看不懂
终端难发现
资产不可视
溯源取证难
攻击难防御
物联网存在大量传感器、专项器械、摄像 头等,设备数量多、品牌杂、部署位置分 散,且由各厂家分别管控,缺乏有效统一 管控海量电脑、哑终端、物联网设备、服务器 等设备资产信息不可视,难以有效管理
端
安全网关AF
威胁潜伏探针
网
安全网关AF
威胁潜伏探针
通过部署物联网安全防火墙设备,从安全防御、入侵检测、访问控制、违规阻断、非法访问、物联网协议识别及漏洞 防护等角度全方面实现网端安全有效防护
IOT IOT物联网设备、视频摄像头
IOT IOT物联网设备、视频摄像头
【内部培训】安全感知平台+潜伏威胁探针
方案介绍– 对应的解决方案与产品
方案介绍---对应彩页4-8页:
1. 潜伏威胁探针 (Stealth Threat Analytics) STA 旁路在核心交换机以及核心业务区的接入交换区,抓取镜像流量
关键词:旁路,流量抓取
2. 安全感知平台 (Security Intelligent Platform)SIP 部署在内网,集中管理STA,收集STA抓取的日志,并且分析异常行 为,展示访问关系,可疑访问,攻击行为
关键词:业务资产可视,业务访问关系可视,安全感知
2、借由深信服/Gartner“防御,检测,响应”的理念, 向用户灌输防护被突破只是时间问题,不是是/否的问题。 需要持续检测和快速响应对抗快速迭代的攻防节奏。
关键词:持续检测
3、借由介绍黑客/攻击者的攻击路径与攻击向量,向用户灌输突破边 界以后,需要内网的安全设备起到安全纵深的作用。发现过去边界防 护忽略的内网攻击行为。
2002005220adminadmin最新探针2002005221adminsinfor1232020820市场思路搭配销售的其他服务?发现的问题可以搭配安全即服务作为响应设备?2017q3版本搭配af联动?2017q3版本搭配eps联动2020820市场思路整体解决方案防御?af?waf?云云waf检测?探针?云检测af检测响应?安全服务?微信告警?引导预算?暂时不卖2020820
关键词: 集中管控,展示
2020/3/22
市场思路 – 销售模式
销售模式 ➢ 按探针需要支持的流量选型 ➢ 可视化平台为软件,目前搭配探针赠送,可配合超 融合一起安装销售
销售工具 http://200.200.1.200/cms/plus/list.php?tid=2353
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中
心
EDR插件 EDR插件 EDR插件
探针STA
端点查杀
一键阻断:自动阻断木马与黑客通信 端点查杀:端点执行扫描、查杀等动作 高级人工服务:安全应急响应,解析网络
威胁现状和威胁,并给出安全建设建议
专家服务
办 公 区
协同响应能力
一键阻断
用户提醒
端点查杀
西南某电子政务外网
需求现状
1. 部署了大量的安全防护设备,仍然发生 网页被篡改的安全事件;
国内多个互联网公司数据泄露
就在2017年上半年,国内多个互联网企业的用 户隐私信息遭到泄露,甚至是售卖,影响恶劣。
根因:以防御为核心的安全体系无法应对各类高级攻击(APT攻击、钓鱼邮件等) 缺乏对突破防御并进入网络内部的潜伏威胁的持续检测能力
传统安全体系的挑战之二:看不懂
客户平均每天生成安全告警日志多达上万条 各类安全日志分散在各种安全设备上 安全日志以安全事件角度展示
背景介绍
419讲话---习主席
“谁进来了不知道、是敌 是友不知道、干了什么不 知道”,长期“潜伏”在 里面,一旦有事就发作了
《“十三五”国家信 息化规划》
全天候全方位感知网络安 全态势。加强网络安全态 势感知、监测预警和应急 处置能力建设
2016.4
2016.12
网络安全法开始实施
使得网络安全有法可依, 各行业更加重视网络安 全建设
等保2.0标准
对网络行为、潜伏未知 威胁进行持续检测和分 析
2017.6
即将发布
传统安全体系的挑战之一:看不见
WannaCry
2017年5月,WannaCry勒索病毒全球大爆发,至 少150个国家、30万名用户中招,造成损失达80亿 美元,已经影响到金融,能源,医疗等众多行业,造 成严重的危机管理问题
③威胁情报、辅助检测
最新国内外威胁情报联盟成员: virus total 、CNVD、CNNVD等
基于客户网络态势推送精准可落 地的威胁情报
全量检测 主动提取
①自主全流量数据分析为主
在内部关键节点部署探针,主动提取信息 联动边界、终端自有产品,无缝对接,主动
提取
②第三方设备广泛收集
基于标准格式收集第三方日志收集 基于业务、资产、用户、应用等维度的主
亟需建设全局把握整体安全态势的监测平台
部署方案
安全感知平台 SIP
探针1
探针2
探针3 vNGAF
1. 3台探针:旁路部署在网络内部关键节点, 全流量检测网络内部威胁行为;
2. 16个vNGAF软件:部署在虚拟化服务器上, 对虚机进行防御的同时,与安全感知平台对 接收集有效检测数据。
3. 安全感知平台(SIP):收集所有探针的数 据,并通过可视化的形式呈现给用户。
2. 发生安全事件后,无法感知内网服务器 区受影响的范围有多大;
根因分析
1. 对于绕过边界防御,已经潜伏在内网的 威胁,客户缺乏有效的检测手段;
2. 在服务器区内部,监控不到服务器之间 的东西向流量;
部署架构
互联 网出 口区 域
探针1
办公区
NGAF 上网行为管理
电子政务外网
服务器区 探针2
全网 安全 感知 平台
大数据
检测算法
访问关系
业务识别
构建准确的检测模型
交付&可视
整体安全态势 业务安全风险 业务访问关系 横向威胁分析 Kill chain趋势 异常行为画像 安全失陷举证
为业务决策服务的可视化
处置&响应
NGAF联动封堵 EDR联动查杀 上网行为管理联动提醒 安全专家人工服务
协同联动+人工服务
海量数据采集能力
客户价值
深信服安全感知上线14天,自动识别资产500+,发现内部6个潜伏威胁
根因:各类安全日志数量大、分散,且异构,看不过来、看不懂
传统安全体系的挑战之三:响应慢
安全产品众多
WAF UTM
安全审计
漏扫
数据库审计 上网行为管理
下一代防火墙
邮件网关
IDS 抗DDOS
VPN
身份认证 防火墙
IPS 防毒墙
人力运维难度大
根因:安全人才数量少,难培养,不能多精;
如何应对?
构建一个可感知、易运营的安全大脑
动信息提取
精准检测能力
创新引入机器学习、大数据技术提高检测率
攻防专家
安全 分析师
攻防对抗 人工智能 大数据分析
数据 科学家
HTTPFlow分析引擎 NETFlow分析引擎 DNSFlow分析引擎 SMBFlow分析引擎 SMTPFlow分析引擎
xxx分析引擎
LSTM较N-gram有显著提升 在“能否检测出僵尸网络”问题上达到99.7%的F值(精确率和检出率的综合指标)
安全大脑的核心能力
精准检测能力
机器学习算法检测 UEBA检测 横向威胁检测
全局可视能力
宏观可视辅助决策 微观可视辅助运维
协同响应能力
多设备协同联动 一键封堵、一键查杀
海量数据采集能力
以全流量数据采集为主 以各类设备日志收集为辅
5、部署架构
云沙盒 威胁情报 云脑
internet
互联网接入区
方案效果与价值
16
1
1
16个失陷主机
1台服务器与法 国某IP有频繁
通信
1个IP在内部进 行渗透
帮助客户看清内部业务及业务间的异常访问关系 帮助客户看到潜伏在内网的失陷是主机带来的威胁 帮助客户看懂潜伏威胁造成的风险及风险处置建议
西南地区某高校
需求分析
安全设备堆叠、各自为政,无法有效发现风险 资产众多,难管理,容易形成安全薄弱点
在“检测出具体是哪一种僵尸网络”问题上达到了平均90.3%的F值。
全局可视能力:宏观辅助决策
脆弱性可视
全网安全态势可视
外部攻击态势可视
内部横向威胁可视
全局可视能力:微观精准运营
业务维度可视
攻击链可视
详细威胁举证 影响面分析
协同响应能力:三级响应机制
一键阻断 用户提醒
安全感知系统SIP
数
据
探针STA
外部威胁情报
数据中心
广域网 局域网
潜伏威胁探针 下一代防火墙
主机EDR
潜伏威胁探针 下一代防火墙
安全大脑
运维处置可视化
行为分析、机器学安全?
造成了什么危害? 我该如何处置?
可感知:有对高级攻击、潜伏威胁的发现能力 易运营:能看得懂安全,能快速处置威胁
分
支
核心层
本地安全大脑
分 支
云眼 云盾 在线专家 快速响应 办公区
传统数据中心区
EDR
VSS
虚拟化中心区
技术架构
来源&提取 防御设备 检测设备 流量探针 威胁情报 云端沙箱 终端安全软件
提取有效数据来源
检测&分析
UEBA
全 流 关联分析 量 检 行为分析 测
机器学习
资产识别 用户识别 业务分类
脆弱性检测