www.ksyuwei.cn

www.ksyuwei.cn

www.ksyuwei.cn

www.ksyuwei.cn

www.ksyuwei.cn

www.ksyuwei.cn

www.ksyuwei.cn

www.ksyuwei.cn

什么是高级威胁检测系统

  腾讯云高级威胁检测系统(下文中也叫御界)通过镜像方式采集企业网络边界流量,对流量进行解析、还原文件。通过入侵规则、威胁情报匹配和沙箱文件分析等技术手段识别威胁,保障企业系统安全。同时,系统将对流量日志、告警报文进行存储,方便事故后追踪溯源。

  产品优势行为覆盖与平台监控

  御界自研的监控模块,其行为覆盖具有全面性。经过腾讯多年的安全经验积累,御界当前拥有500多个 Windows 平台监控点、100多个 Android 行为监控点。

  漏洞攻击检测

  基于特征的漏洞检测技术,仅能应对历史漏洞扫描和攻击,而御界拥有面向攻击链的检测方式和深入全面的动态分析技术,使其能灵活应对 0day 漏洞攻击。同时,基于腾讯反病毒实验室在浏览器漏洞、操作系统漏洞、Office 漏洞等方面的丰富经验,研制出了全面的检测方法和模型。

  腾讯威胁情报集合

  御界集成腾讯安全大数据中心采集的海量样本,及哈勃分析集群产生的大量分析数据,可生成威胁情报,通过在线或离线升级服务的方式,输送到各个子系统。

  攻击链视角与大数据分析

  御界拥有多重威胁感知方法,并以攻击链视角统一呈现威胁数据。同时融合大数据分析,对攻击事件进行时序串接,对攻击者、受害者进行深度画像。并且可以对企业网络边界进行全流量日志大数据框架存储,快速返回海量数据查询结果。

  高级威胁发现

  攻击者在目标对象处,通过带有恶意附件的电子邮件进行窃取数据活动,使得关键信息基础设施面临高级持续性威胁(APT)。御界集成腾讯哈勃沙箱分析系统,支持多种文件格式和虚拟环境,能对恶意文件进行精准识别。

  网络入侵检测

  木马、蠕虫、漏洞利用等攻击手段在网络入侵中仍占据很大比例,御界提供完善的网络入侵规则集,高度覆盖已知入侵场景。

  威胁情报失陷感知

  往往会通过远程控制已攻陷的系统,挂马企业信息资产,此类行为会使外联 C&C 服务器产生相应的网络流量。因此,网络边界是从全局感知失陷资产的极佳位置。御界基于腾讯的威胁情报,可精准识别网络主机产生的失陷流量。

  全流量数据溯源分析

  在攻击发生后,用户往往要对安全事件进行溯源分析,了解安全事件的来龙去脉,对于较大的安全事件,甚至需要进行深入复盘。御界提供流量日志存储功能,通过“检索”可进行流量日志交互式分析,回溯攻击发生时刻的流量信息,同时还可提供告警流量的 PCAP 包下载功能。

  单点部署

  当边界流量小于1G时,推荐使用单点部署模式,此时高级威胁检测系统(下文中也叫御界)的分析平台、沙箱和流量探针可部署在单台服务器上。

www.ksyuwei.cn

  多探针部署

  当有多个边界点的流量需要采集,且总分析流量小于3G时,可采用多探针部署模式。此时多个探针分别部署在各节点交换机旁,采集到的流量日志将输送到统一的御界平台及沙箱处分析。

www.ksyuwei.cn

  多探针、平台集群化部署

  当流量大于3G时,平台将采用集群化部署,支持硬件设备按需平行扩展,灵活应对3G - 10G流量。

www.ksyuwei.cn

  御界可以进行防护拦截吗?

  御界定位为检测产品,不能直接进行拦截。御界可以通过 syslog 发送告警信息,如果第三方设备(如网关、防火墙等网络入侵防护设备(IPS))支持接收 syslog 并执行阻断功能,御界即可与之进行联动。

  软件化部署时,如何计算存储资源?

  御界解析网络流量并存储全流量日志,将会占用较大的存储资源,按经验值,1G流量每三个月需要消耗40T存储空间。

  御界支持哪几种部署模式?

  总流量不超过1G的用户,御界主推单机部署模式,即流量解析、文件还原判定、分析将在一台服务器上完成。

  总流量不超过3G,且在部署环境中需采集多个流量节点的用户,可以用多探针、单分析平台部署模式,即单台分析平台对接多流量源(探针)。

  总流量大于3G时,平台将需要使用集群化部署模式。

  御界对机器性能有什么要求?

支持流量推荐配置
1G及以内

  CPU:E5-2680v4*2

  内存:16G*8

  存储:48T(1G流量支持3个月存储。)

  

1G - 3G探针和沙箱:


  CPU:E5-2680v4*4

  内存:256G

  

数据平台:


  CPU:E5-2680v4*2

  内存:256G

  存储:144T

  (3G流量支持3个月存储。)

  

3G - 10G同上,按实际流量大小及分析文件数需要进行多探针和沙箱部署。数据平台:


  CPU:E5-2680v4*2

  内存:128G*4

  存储:按照实际流量大小和保存时间进行估算。

  

10G - 40G同上,按实际流量大小及分析文件数需要进行多探针和沙箱部署。同上,按实际流量大小需要进行平行扩容。


  御界支持东西向流量采集吗?

  与御界探针部署的位置相关,若将汇聚层流量镜像到御界探针,御界即能感知东西向流量。

  御界支持隔离网环境吗?

  支持,御界支持离线包升级,可以在隔离网中正常工作。

  御界安装部署需要多长时间?

  御界支持一键化简易部署,用户只需要将流量镜像到御界探针,御界即能对网络流量进行分析感知,无需做复杂配置。

  • 名称: T-Sec高级威胁检测系统
  • 关键词: T-Sec高级威胁检测系统,御界高级威胁检测系统,威胁检测 ,腾讯云