华为CIS大数据安全分析平台解决方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
华为CIS大数据安全分析平台解决方案
产品形态介绍1
客户应用场景2
产品主要特性3
产品优势
4
CIS 典型产品形态(硬件+软件)
CIS
单机版
1
一台X86服务器上集成了可视化、大数据基础平台、流探针以及采集器等必须组件。
1共4台X86服务器:
•1台X86服务器上集成了可视化、流探针、采集器
•3台X86服务器上部署大数据基础平台
可视化+大数据基础平台+流探针+采集器
可视化+流探针+采集器
3大数据基础平台
CIS 小型化
1根据不同的性能要求,组成CIS 高级版集群,共N 台X86服务器(N=1+A+B+C ):•1台X86服务器部署可视化•A 台X86服务器部署流探针•B 台X86服务器部署采集器
•
C 台X86服务器部署大数据基础平台
可视化C
大数据基础平台
CIS 高级版
A 流探针
B 采集器1台
4台
11台+
客户应用场景2产品形态介绍1产品主要特性3
产品优势
4
方案价值
⏹未知、高级威胁检测
•基于流量检测未知攻击,识别未知感染主机、未知僵尸主机•基于文件检测未知恶意文件,识别未知恶意文件传输•基于文件和流量,检测APT 渗透、隐蔽通道
⏹信息泄露防护
•APT 全攻击链检测,及时发现信息泄露风险
•C&C 抓取,文件外发统计分析,关键资产的保护
⏹攻击溯源/调查取证
•大数据平台,存储协议元数据,辅助调查分析高级威胁•可疑流量PCAP 抓包,辅助事件确认调查分析
⏹全网安全态势感知
•全网感知安全态势,发现C&C 、高级威胁攻击、内网感染主机、异常文件外发等
⏹安全联动防护
•联动安全设备执行防护动作,如清除感染终端恶意程序,阻断C&C
外联,阻断隐蔽通道外发等行为。
核心层汇聚层接入层
访客区域
研发区域
财务区域
园区网
市场区域
internet
远程办公
TC EDC
流探针
沙箱
沙箱
流探针
CIS
流探针
流探针
vSwitch
VM1VM2
全球威胁智能中心
APT 高级威胁检测云服务
网络执行设备
金融/大企业APT 信息安全方案
小型企业/分部方案(CIS 单机版)
FireHunter 沙箱
NGFW
NGFW
CIS 单机版
采集器(内置)
流探针(内置)
还原文件
检测日志
镜像流量
企业网络
集成度高
单节点上集成了可视化、大数据基础平台、流探针、采集器等必须组件
功能齐全
主要功能和CIS 高级版完全一致
部署简便
一台服务器提供所有CIS 功能,免去组网、连线等繁琐步骤
方案价值及关键信息
本地信誉共享
Internet
华为防火墙(内置探针)+CIS 方案
FireHunter 沙箱
NGFW
NGFW
采集器
还原文件
检测日志
metadata
企业网络
低成本
无需部署独立流探针,充分利用华为防火墙
内置流探针功能提取流量信息
一墙多能
华为防火墙内置流探针功能,可提取metadata 和netflow ,还可完成文件提取
部署简便
一台华为防火墙集成流探针功能,免去独立流探针组网、连线、引流等繁琐步骤
方案价值及关键信息
CIS
netflow
归一化日志
Internet
本地信誉共享
8
华为交换机+防火墙(内置诱捕)+CIS 方案
引蛇出洞
利用华为交换机完成诱骗,不间断捕捉对主
机的扫描行为,按需引流应用协议
愿者上钩
华为防火墙内置蜜罐功能,回应不存在端口,
模拟应用协议交互,引诱黑客攻击
无处不在的诱饵
充分利用华为交换机、防火墙,诱饵触角深入到网络每个角落,让攻击者无从下手
方案价值及关键信息
核心交换机
AP
数据中心
办公区A
办公区B
安全运维区
FireHunter 沙箱
采集器
CIS
诱捕日志还原文件
回应不存在IP
欺骗端口交互
回应不存在IP
欺骗端口交互回应不存在IP 回应不存在IP
诱捕日志
还原文件
产品主要特性3产品形态介绍1客户应用场景2产品优势
4
FireHunter
Log Collector
Flow Probe
IPS NGFW
CIS
Internet
vNGFWs
VM
VM VM VM
边界防御
•NGFW/NGIPS:实现对已知威胁的防御
•VNGFW:防御虚拟机之间威胁
•内网检测
•CIS: 全网部署探针采集信息进行分析
•FireHunter:检测全网传输文件
•回溯调查
•攻击路径溯源、提供已知和高级威胁调查
•态势感知
•识别关键威胁排行、预警可能的攻击
方案组件及关键信息
全攻击链检测的APT防御解决方案