赤豹全流量威胁检测系统[NDR]

赤豹全流量威胁检测系统具备强大的 ATT&CK模型构建攻击链能力,能够有效应对高级威胁。系统通过深度分析网络流量、文件、邮件以及日志等数据,结合威胁情报、规则特征库、病毒引擎以及沙箱虚拟技术实时监测并发现流量中潜藏的已知和未知网络威胁。产品还支持与端点检测响应(EDR)、扩展检测响应(XDR)及其他各类网络设备进行联动,全面提升企业的网络安全防护能力。

产品优势

敏感审计

支持对网络流量和文件中的敏感信息进行审计,以及进行泄密行为的调查和追溯。用户可以根据需求设置多种审计策略,包括敏感词、敏感印章、敏感水印、特定文件和源代码文件以及数据库文件的监控。

全面的发现失陷主机能力

以多个维度识别受感染的主机,利用关联模型及时发现网络环境中的失陷主机,涵盖网络中所有的笔记本电脑、服务器、打印机、物联网设备等各类网络设备。

行为沙箱监测技术

运用沙箱技术搭建隔离的威胁检测环境,将文件传输至静态检测引擎以提取关键文件信息,并生成详尽的沙箱报告,以直观方式展示文件的状况。

威胁情报监测技术

借助情报平台进行收集与分析威胁情报,提前预知潜在威胁,以便更迅速地实施威胁防范措施。

基于ATT&CK的攻击链分析技术

结合ATT&CK模型,将同一攻击阶段的威胁进行集中展示,同时可利用ATT&CK模型探测相应的未知威胁。

溯源取证能力

提供威胁事件的追踪和溯源功能,借助攻击路径,进一步确定攻击者身份,为网络安全分析人员的事件研判和取证提供支持。

自动化处置闭环

根据情报判定,对攻击行为进行阻断。并且支持与EDR进行联动,打通整个处置流程,自动定位到恶意文件、恶意威胁,形成稳定的网络安全防御体系。

多维度关联分析

通过多维度的关联分析,精准辨识高级威胁,例如:基于攻击源的关联分析;基于攻击目标的关联分析;基于逻辑判断的关联分析;基于攻击路径的关联分析

产品特点

流量采集

具备广泛的协议识别能力,能够全面捕获链路上传输的数据报文,并从中提取必要的字段。适用于对从物理层到应用层的流量进行全面分析。

多维度识别资产脆弱性

支持从内网、外网、主机、协议以及时间等多个维度对弱口令进行查询,提供了全景式、精细化的弱口令检测能力,支持对弱口令设备进行记录。

多场景的流量检测能力

支持从主机的角度进行安全分析,能够展示所有主机的安全级别,并通过可视化形式汇总显示主机上发生的具体安全事件。

文件还原能力

可对全网主机进行合规安全基线检测,支持安全基线加固测试,使终端满足合规要求。

文件检测能力

具备沙箱引擎检测与内置杀毒引擎检测能力,能够多维度的提取攻击行为,快速有效的发现用户网络中各种病毒、木马、蠕虫等恶意软件。

先进的入侵检测能力

内置丰富的入侵威胁检测规则,能够广泛识别存在于市面上的威胁攻击,有效发现新型威胁,并根据安全级别,及时进行处置。

邮件的威胁检测能力

提供邮件附件检测功能,检测内容包括邮件附件名称、邮件名称、客户端IP、服务端IP、发件人、收件人、抄送人以及MD5等信息。

自动化报表能力

提供多样化的统计报表,并生成符合国家法律法规和行业标准要求的合规报告,有助于管理人员了解组织内网络的安全合规情况。

数据可视化呈现能力

针对客户目前的恶意文件、受感染主机情况、病毒文件类型以及攻击链事件,提供详细展示,反映当前整体状况,直观地呈现出威胁现状。

应用场景

全网威胁感知

支持全流量采集,实时监测内网中的已知威胁和未知威胁。能够呈现出网络中各种威胁类型的攻击情况。

应急处理勒索病毒等

可以利用沙箱的动态检测和静态检测功能,模拟真实的系统环境,探测网络中的挖矿病毒、勒索病毒、蠕虫病毒等恶意软件。

定位失陷主机

部署在大型金融机构的内部办公主机或服务器上,加强风险管理、行为审计和攻击防护。

肃清内网横向扩散行为

以内网的主机为中心,可对全网的恶意横向攻击进行检测。

相关产品

结合业务需求,进一步了解产品详情