什么是高级威胁检测系统
高级威胁检测系统是高级威胁检测(APT 检测)、分析、溯源和阻断的一体化解决方案。在网络边界处采用镜像流量和旁路检测的方式,对流量进行协议解析、文件还原和全量信息存储,通过有机结合规则引擎、哈勃沙箱、威胁情报和 AI 算法等技术,帮助企业发现恶意攻击和潜在威胁,协助客户对攻击事件进行分析、溯源和阻断。
产品功能
网络入侵检测
木马、蠕虫及漏洞利用等攻击手段在网络入侵中仍占据很大比例,高级威胁检测系统提供完善的网络入侵规则集,高度覆盖已知入侵场景。
文件威胁检测
对于从流量中还原的样本,运用自研的哈勃沙箱和腾讯反病毒引擎TAV技术,以动态行为检测、静态行为检测以及漏洞检测方式,发现恶意文件并洞察恶意文件一切行为。
威胁情报失陷感知
黑客往往会通过远程控制已攻陷的系统,挂马企业信息资产,此类行为会使外联 C&C 服务器产生相应的网络流量。因此,网络边界是从全局感知失陷资产的极佳位置。高级威胁检测系统基于腾讯的威胁情报,可精准识别网络主机产生的失陷流量。
全流量数据溯源分析
在攻击发生后,用户往往要对安全事件进行溯源分析,了解安全事件的来龙去脉,对于较大的安全事件,甚至需要进行深入复盘。高级威胁检测系统提供流量日志存储功能,通过“检索”可进行流量日志交互式分析,回溯攻击发生时刻的流量信息,同时还可提供告警流量的 PCAP 包下载功能。
安全专题运营分析
基于腾讯安全的运营经验,高级威胁检测系统提供了密码安全、勒索病毒、组件安全、攻击 IP 分析、数据泄露、登录行为分析、邮件安全和域名解析的专题场景,每个专题下会提供多种角度的安全分析视图,供安全运营管理人员重点关注及分析。
资产发现及管理
高级威胁检测系统的资产管理包括资产列表和资产发现。用户能够便捷快速的管理资产,从列表页中快速识别风险信息,洞察资产风险分析结果,迅速从资产维度处理安全事件,提升管理和运维效率。