华为CIS大数据安全分析平台解决方案

华为CIS大数据安全分析平台解决方案

产品形态介绍1

客户应用场景2

产品主要特性3

产品优势

4

CIS 典型产品形态（硬件+软件）

CIS

单机版

1

一台X86服务器上集成了可视化、大数据基础平台、流探针以及采集器等必须组件。

1共4台X86服务器：

•1台X86服务器上集成了可视化、流探针、采集器

•3台X86服务器上部署大数据基础平台

可视化+大数据基础平台+流探针+采集器

可视化+流探针+采集器

3大数据基础平台

CIS 小型化

1根据不同的性能要求，组成CIS 高级版集群，共N 台X86服务器（N=1+A+B+C ）：•1台X86服务器部署可视化•A 台X86服务器部署流探针•B 台X86服务器部署采集器

•

C 台X86服务器部署大数据基础平台

可视化C

大数据基础平台

CIS 高级版

A 流探针

B 采集器1台

4台

11台+

客户应用场景2产品形态介绍1产品主要特性3

产品优势

4

方案价值

⏹未知、高级威胁检测

•基于流量检测未知攻击，识别未知感染主机、未知僵尸主机•基于文件检测未知恶意文件，识别未知恶意文件传输•基于文件和流量，检测APT 渗透、隐蔽通道

⏹信息泄露防护

•APT 全攻击链检测，及时发现信息泄露风险

•C&C 抓取，文件外发统计分析，关键资产的保护

⏹攻击溯源/调查取证

•大数据平台，存储协议元数据，辅助调查分析高级威胁•可疑流量PCAP 抓包，辅助事件确认调查分析

⏹全网安全态势感知

•全网感知安全态势，发现C&C 、高级威胁攻击、内网感染主机、异常文件外发等

⏹安全联动防护

•联动安全设备执行防护动作，如清除感染终端恶意程序，阻断C&C

外联，阻断隐蔽通道外发等行为。

核心层汇聚层接入层

访客区域

研发区域

财务区域

园区网

市场区域

internet

远程办公

TC EDC

流探针

沙箱

沙箱

流探针

CIS

流探针

流探针

vSwitch

VM1VM2

全球威胁智能中心

APT 高级威胁检测云服务

网络执行设备

金融/大企业APT 信息安全方案

小型企业/分部方案（CIS 单机版）

FireHunter 沙箱

NGFW

NGFW

CIS 单机版

采集器（内置）

流探针（内置）

还原文件

检测日志

镜像流量

企业网络

集成度高

单节点上集成了可视化、大数据基础平台、流探针、采集器等必须组件

功能齐全

主要功能和CIS 高级版完全一致

部署简便

一台服务器提供所有CIS 功能，免去组网、连线等繁琐步骤

方案价值及关键信息

本地信誉共享

Internet

华为防火墙（内置探针）+CIS 方案

FireHunter 沙箱

NGFW

NGFW

采集器

还原文件

检测日志

metadata

企业网络

低成本

无需部署独立流探针，充分利用华为防火墙

内置流探针功能提取流量信息

一墙多能

华为防火墙内置流探针功能，可提取metadata 和netflow ，还可完成文件提取

部署简便

一台华为防火墙集成流探针功能，免去独立流探针组网、连线、引流等繁琐步骤

方案价值及关键信息

CIS

netflow

归一化日志

Internet

本地信誉共享

8

华为交换机+防火墙（内置诱捕）+CIS 方案

引蛇出洞

利用华为交换机完成诱骗，不间断捕捉对主

机的扫描行为，按需引流应用协议

愿者上钩

华为防火墙内置蜜罐功能，回应不存在端口，

模拟应用协议交互，引诱黑客攻击

无处不在的诱饵

充分利用华为交换机、防火墙，诱饵触角深入到网络每个角落，让攻击者无从下手

方案价值及关键信息

核心交换机

AP

数据中心

办公区A

办公区B

安全运维区

FireHunter 沙箱

采集器

CIS

诱捕日志还原文件

回应不存在IP

欺骗端口交互

回应不存在IP

欺骗端口交互回应不存在IP 回应不存在IP

诱捕日志

还原文件

产品主要特性3产品形态介绍1客户应用场景2产品优势

4

FireHunter

Log Collector

Flow Probe

IPS NGFW

CIS

Internet

vNGFWs

VM

VM VM VM

边界防御

•NGFW/NGIPS:实现对已知威胁的防御

•VNGFW:防御虚拟机之间威胁

•内网检测

•CIS: 全网部署探针采集信息进行分析

•FireHunter:检测全网传输文件

•回溯调查

•攻击路径溯源、提供已知和高级威胁调查

•态势感知

•识别关键威胁排行、预警可能的攻击

方案组件及关键信息

全攻击链检测的APT防御解决方案