对云上所有主机和应用系统的日志进行审计,并为审计信息的存储、分析和处理提供平台,作为管理员实时事件追踪、责任认定以及实施应急响应的依据。
产品功能:
1、高效数据采集与监控:我们的系统拥有先进的智能数据采集能力,通过持续的连接检测、数据完整性校验和用户自定义缓存机制,确保数据的完整接收。我们对数据传输的每个环节进行严格监控,利用可定制的过滤和聚合技术,有效筛选掉无关信息,合并重复的日志条目,并通过先进的数据压缩技术优化网络带宽的使用。
2、日志的统一管理:我们的平台实现了日志的统一标准化管理,覆盖了安全事件(例如攻击、入侵、异常)、行为事件(例如内部控制、违规行为)、漏洞扫描(例如弱点、漏洞)以及系统状态监控(例如可用性、性能、状态)等多个维度。我们还从安全角度对事件进行详细描述,包括目标对象、行为特点、事件特征、结果分类,以及攻击和检测设备的分类。
3、创新的日志解析技术:我们采用了创新的日志解析技术,解析规则在接收到相关日志时自动触发,并支持对未识别日志的水印处理。通过多层次解析功能和动态规划算法,我们能够灵活地处理未解析的日志事件,支持多种解析技术,包括正则表达式、分隔符、MIB信息映射配置等。特别值得一提的是,我们的日志解析性能不受接入日志设备数量的限制。
4、高效的关联算法:我们的关联算法在标准化基础上设计,具有出色的适应性和实时内存关联功能,确保高性能处理。同时,我们的关联规则具有高度的可定制性,用户可以根据通用事件的任何字段进行定制。此外,我们还内置了重要的关联规则库,为用户提供即装即用的便利。
5、出色的可维护性与可扩展性:我们的系统提供了完善的维护配置功能,如系统参数设置、日志管理等。硬件系统采用模块化设计,确保系统内存、CPU及存储容量的灵活扩展。硬件配置的升级无需修改或开发软件。每个组件都可以进行横向扩展,以满足不断增长的业务需求。
云数据库审计云数据库审计
系统具备实时监控网络中数据库活动的能力,执行细致的数据库操作审计,以快速识别并警告潜在的数据库风险行为,并有效阻止可能的攻击。系统不仅能够审计数据库操作行为和内容,还能对业务运维操作进行详尽的合规性审计和管理。
通过对内部人员的数据库操作和运维操作等网络行为进行深入分析、细致审查、准确记录和全面报告,系统可以帮助用户实现全面的预防规划、动态监控应对、详尽的合规性报告和精确的事故追踪。这不仅显著提高了对内外部网络行为的监管,还有效提升了业务系统的安全防护,确保满足组织机构的内外合规要求。
产品功能:
1.审计内容:全面的审计日志涵盖账号、SQL语句、数据库表、字段、存储过程、客户端工具、IP、MAC地址、实例名、主机名等信息。支持双向审计,确保数据流的完整性和准确性。涵盖HTTP请求审计,以及支持对SQL Server中加密用户名的审计。
2.智能发现:可以分析镜像流量自动发现流量中存在的数据库;
3.规则分析:系统支持对账号、IP地址、MAC地址、操作类型、返回的数据行数、执行时长、涉及的表、字段、主机名、操作系统名称、关联表数量等敏感信息进行精确监控。此外,系统还支持根据用户名、操作类型、IP地址、客户端工具、操作系统用户名、主机名、MAC地址、SQL语句等至少10项条件来设置白名单。用户可以直接从风险告警中提取白名单条件,并能够一键快速添加到白名单中。
4.追踪溯源:支持C/S、B/S业务系统真实用户名、IP提取;可自定义web用户名的提取方法,以适用不同业务系统的用户追踪;
5、警报功能:系统提供短信、电子邮件、系统日志(syslog)、简单网络管理协议(snmp)、文件传输协议(ftp)等多种警报方式;支持高级警报功能,包括向多人同时发送警报、聚合发送、单独发送、重发、以及警报事件的统计分析。
6、日志数据管理:系统应至少根据天数和百分比两个参数来管理审计数据的保留策略,并通过Web界面提供配置选项。数据恢复过程不会干扰正常的审计功能。系统支持自动备份审计日志,备份完成后可通过FTP将日志传输到外部存储设备。备份文件需要加密,只有在导入到设备后才能进行恢复和查看。当磁盘空间达到预设阈值时,系统将自动删除最旧的数据以释放空间。
7.部署模式:支持旁路镜像模式部署、支持分布式部署;
8.协议支持:、支持Oracle、SQLServer、DB2、Informix、Mysql、Sybase等数据库协议;支持http协议
.云堡垒机
堡垒机是一种专门设计用于管理和审计运维人员操作行为的网络安全设备。管理员通过堡垒机,能够对运维人员可访问的设备以及可执行的命令进行精确控制,有效预防运维人员因非法或误操作而执行的高风险任务。同时,堡垒机提供实时监控和事后审计功能,确保运维过程的安全和合规。
在运维工作中,运维人员无需直接记忆和管理众多设备的IP地址、用户名及密码等敏感信息,而是通过堡垒机进行集中管理和认证,这不仅减少了运维人员的工作负担,还极大地降低了敏感信息泄露的风险,从而提高了运维工作的效率与安全性。
堡垒机对运维过程的管理涵盖事前预防、事中控制和事后审计三个阶段。在事前预防阶段,通过建立“人员-资源-资源账号”的对应关系,实现统一的身份认证和授权管理。在事中控制阶段,通过构建“人员-操作-资源”的监控体系,确保运维操作的合规性和可审计性。而在事后审计阶段,则通过建立“人员-资源-审计日志”的追溯机制,实现对运维操作的事后回溯和责任界定。这种全程参与的管理方式,为运维工作的安全、高效运行提供了有力保障。
产品功能:
1****、单点登录:运维人员仅需在堡垒机上进行一次身份验证,系统将自动提供授权列表,允许他们直接访问目标资源,无需再次输入账户和密码。运维人员只需记住自己的堡垒机登录信息,而无需记住多个目标资源的IP地址、账户和密码。
2、身份认证:系统支持多种认证方式,包括静态密码、USB密钥、动态令牌卡、短信验证码和数字证书认证。
3、访问授权:管理员可以根据资源特性为不同角色配置访问权限,支持基于时间、命令和审批流程的规则设置,并能够与资源角色相结合,确保不同运维人员的访问遵循各自的控制策略。此外,系统还支持限制远程桌面协议(RDP)中的剪贴板和磁盘映射功能。
4、协议审计:系统能够完整记录运维人员在目标设备上的所有操作,包括字符协议(如SSH、TELNET)、文件传输协议(如FTP、SFTP)和数据库协议的操作命令,以及图形协议(如RDP、VNC)的完整操作记录。
5、监控与回放:系统能够同步监控所有远程访问目标主机的会话连接,运维人员在远程主机上的任何操作都会实时显示在管理员的监控界面上,管理员可以随时手动中断违规操作。
6、告警与阻断:系统能够根据预设的访问控制策略自动检测运维过程中的越权访问和违规操作等安全事件,并根据规则自动发出警报或阻断违规行为。
主机加固软件
主机加固软件产品通过终端持续不断的信息采集来驱动安全威胁检测,通过安全威胁检测驱动安全事件关联分析及响应以及对于所有终端发生过和正在发生中的安全事件进行可视化呈现并溯源,帮助组织“看到”“看清”“看全”安全威胁。
产品功能简述
终端资产清点
通过对于主机资产清点,了解业务系统的资产及现存状态,在运行环境中反向生成CMDB,掌握所有需保护业务系统正常状态,在发生疑似安全事件时通过正常资产数据做支撑比对,便于发现终端异常态势。
安全基线核查
安全合规信息:补丁安装状态;防火墙状态;远程桌面状态;共享开启状态;屏保状态;密码强度状态;开放端口;软件、服务合规状态;注册表合规状态及关键目录状态等信息。
针对注册表和关键目录/文件,提供非常灵活的检测方式,支持针对注册表项、键值是否存在,键值是否等于特定值的检测,支持文件或目录是否存在,MD5是否等于特定值的检测。可灵活的用于各项合规检测、恶意文件检测等场景。
口令安全检测
检测操作系统的弱密码,默认自带20W+的弱密码库,支持导入更大的弱密码库。系统中采用自研的优化弱密码检测方案,仅在第一次检测耗时相对较长,后续对于弱密码检测均可秒级快速完成,快速发现口令问题,防止因弱口令导致终端整体安全性的突出问题。
在大多数计算机安全环境中,用户认证在安全防护体系中是最基本的组成部分,也是防范入侵的主要防线。为了抵御入侵者,口令系统是应用最广泛的防范手段。所有的多用户操作系统、网络服务器、应用系统、专用设备,不仅需要用户提供用户名或用户标识(ID),还要提供口令。
终端漏洞检测
主机加固软件产品通过对漏洞的检查与评估,对终端驻留的潜在风险进行分析,并给出详细的处置建议。
恶意代码检测
主机加固软件防病毒能力具备多个自主研发的本地引擎,能够对已知、未知病毒、木马、恶意程序及各种加壳的病毒文件进行等进行检测、清除。结合启明星辰在终端安全领域多年深厚积累,独创文件基因技术,一条特征匹配传统杀毒软件上百条特征,强力保障企业客户终端安全。
勒索专项检测
通过多维度的勒索病毒专项检测能力,对已知勒索病毒及未知勒索病毒均可进行有效防护,并可通过安全分析溯源勒索软件的横向移动方式、启动方式、在主机上的行为记录等。
高效诱捕技术
基于终端行为记录技术中的文件操作行为记录技术实现,通过在系统关键目录放置诱饵文件,当有勒索病毒对诱饵文件进加密时,就会被检测到并执行对应的响应处置动作。
目录防护技术
基于终端行为记录技术中的文件操作行为记录技术实现,用户通过配置设定受保护的目录,该目录下的文件只允许白名单进程可以访问。任何不在白名单中的进程对受保护目录进行写操作都会被阻断,并触发对该进程的威胁检测。
基于文件实时监控的防御方案
利用终端行为记录技术中的文件操作行为记录,系统能够监控终端上的所有文件活动,并在关键访问时刻启动文件威胁检测。一旦检测到勒索病毒文件,系统将立即进行拦截并清除。
结合终端行为记录技术中的文件操作行为记录,以及终端多维度响应和勒索病毒实时监控技术,构建了一个多维度、轻量级的漏斗型检测框架。该框架集成了文件信誉检测、指纹特征检测、样本自学习检测、行为检测和云查技术等多种检测手段。通过连续的筛选过程,实现了更精确、更高效的检测,同时降低了系统资源的消耗。
基于行为的勒索病毒主动防御技术
勒索病毒危害性大、防护难度高的一个原因是因为部分勒索病毒使用无文件攻击方式。勒索病毒的无文件攻击是将进行加密的恶意代码存放于内存中,而没有以文件的形式存储在磁盘之上,因此,基于传统的基于文件特征的检测手段,如杀毒软件、终端桌面管理等,是无法发现勒索病毒并处置的。基于行为的勒索病毒主动防御技术是针对勒索病毒无文件攻击的有效防御手段,让勒索病毒无所遁形。
口令爆破检测
检测通过各种途径(SSH、SMB、telnet、RDP)针对操作系统进行口令爆破的行为,并可对远程的威胁IP进行自动封禁。可自定义封禁方式及时间周期。并支持通过关联分析,进一步分析该IP连接所相关的其它恶意行为。
恶意行为检测
检测帐户提权、异常时间登录、异常帐户登录、频繁登录、新增自启动项、新增帐户、高危命令等异常行为,辅助人工分析在更早阶段判断疑似攻击行为。
终端威胁多维处置
丰富的响应处置能力,提供更多方式的安全威胁处置手段,并可根据实际安全需要,对响应处置方案进行灵活挂载,使得威胁处置可跟随需求变化,威胁检测与处置并行,响应策略亦可相互组合。响应手段包括:
进程响应:杀进程:保障进行使用安全,杜绝非法进行运行。
文件响应:删文件:最常见的安全处置手段。
网络响应:微隔离:对IP、协议、端口等进行细化控制,网络抑制能力更精准,降低影响范围。
外设响应:封外设:终端所有的外设端口均可进行封禁处理,如:封闭服务器所有外设使用,在有运维需求时,可单独放开。
脚本响应:在现有安全处置能力不足以满足安全需求时,支持下发控制台上传如:bat、shell等脚本工具,主机加固软件客户端根据策略立即执行或者在规定时间点执行。通过自定义脚本方式进行防护,主机加固软件系统支持将运维脚本进行全网快速下发,帮助降低运维压力。
协同防御响应处置
主机上检测到木马病毒、非法外联、口令爆破、异常行为等确定性的威胁事件时,可根据策略自动执行停止进程、隔离网络、禁用外设等操作。响应处置即可单独使用,实现对于某种已知威胁的定向响应,同时也可以联动其他安全产品、安全设备、情报等进行联动处置响应,构建整体安全的“协同防御”。
终端威胁成因与溯源
分析全网内进程、文件的操作统计、网络连接统计,基于日常行为进行异常判断。单台终端上的进程启动链,文件操作链、进程网络行为等,辅助进行各种安全分析;对于终端所有发生和正在发生的安全事件进行有效溯源,定位安全威胁源头,为威胁处置以及善后提供有效的数据支撑,帮助管理人员看清内网安全威胁,明确了解威胁是如何进来的、扩散范围有多大。
文件溯源
对于文件的所有操作行为进行记录并溯源,找到恶意文件的来源、变化情况,定位恶意文件源头。
进程溯源
对于有威胁的进程进行纵向溯源,关联进程与进程之间的父子关系,找到威胁进程源头。
网络溯源
对于网络连接行为进行纵向溯源,分析某IP的访问途径及关联关系。
版权归原作者 苏巢学习社 所有, 如有侵权,请联系我们删除。