有效應(yīng)對(duì)威脅
系統(tǒng)側(cè)重于行為動(dòng)作跟蹤,,利用內(nèi)存監(jiān)控技術(shù)突破操作系統(tǒng)限制,,實(shí)現(xiàn)細(xì)粒度監(jiān)控程序運(yùn)行行為,從而提升威脅檢出率,,降低誤報(bào)率,,有效應(yīng)對(duì)二進(jìn)制漏洞利用攻擊。
核心功能
-
文件鑒定檔案支持當(dāng)前業(yè)務(wù)系統(tǒng)中終端的全部可執(zhí)行文件,、office辦公文件等不同類型文件的檔案信息。支持靈活的文件檔案檢索方式,,所有的文件檔案會(huì)按照“黑,、白、灰,、準(zhǔn)白”四大類型進(jìn)行區(qū)分,。
-
新型/未知威脅發(fā)現(xiàn)支持新型內(nèi)存攻擊、腳本攻擊,、惡意代碼攻擊等檢測(cè),,實(shí)現(xiàn)內(nèi)存、系統(tǒng),、應(yīng)用三層防護(hù),,通過行為分析發(fā)現(xiàn)“未知威脅”;支持查詢所有終端設(shè)備非法外聯(lián)次數(shù),,并支持對(duì)外聯(lián)行為進(jìn)行加白操作,。
-
內(nèi)存攻擊檢測(cè)支持對(duì)多種內(nèi)存攻擊手段進(jìn)行檢測(cè)并告警。檢測(cè)內(nèi)存攻擊類型包括:反射式動(dòng)態(tài)庫注入,、傀儡進(jìn)程攻擊,、堆攻擊、ROP攻擊,、加載遠(yuǎn)程模塊,、棧翻轉(zhuǎn)、布局Shellcode,、執(zhí)行Shellcode,、遠(yuǎn)程漏洞溢出、引擎攻擊等,。
-
系統(tǒng)攻擊檢測(cè)支持多種利用系統(tǒng)工具的腳本類攻擊行為進(jìn)行檢測(cè),。支持檢測(cè)的腳本解釋器類型包括:Powershell、WMI,、VBA,、VBS等。對(duì)于信創(chuàng)Linux終端,,支持引導(dǎo)扇區(qū)篡改,、內(nèi)核篡改,、動(dòng)態(tài)庫劫持、環(huán)境變量劫持等多種攻擊行為的檢測(cè),。
-
威脅線索?動(dòng)分析取證支持線索固證,、聯(lián)動(dòng)取證、全網(wǎng)取證,,對(duì)內(nèi)存,、進(jìn)程、?絡(luò),、?志,、?件等信息實(shí)現(xiàn)“實(shí)時(shí)固證”提取及留存。
-
VKM 聯(lián)動(dòng)分析溯源解決流量設(shè)備發(fā)現(xiàn)威脅告警后,,證據(jù)鏈不完整問題,。實(shí)現(xiàn)聯(lián)動(dòng)檢測(cè)與分析,全?提升威脅發(fā)現(xiàn),、威脅溯源能?,。實(shí)現(xiàn)問題“精準(zhǔn)定位”。
產(chǎn)品特色
全網(wǎng)排查,、不留死角
系統(tǒng)實(shí)現(xiàn)全網(wǎng)文件,、IP、域名全息建檔,,發(fā)現(xiàn)惡意程序后,,分析人員可排查其影響范圍及程度,威脅樣本行為分析系統(tǒng)具備灰文件自動(dòng)判定能力,,實(shí)現(xiàn)全網(wǎng)威脅可視化管理,。
實(shí)時(shí)取證,,實(shí)現(xiàn)閉環(huán)管理
系統(tǒng)在攻擊威脅發(fā)生時(shí),,對(duì)攻擊相關(guān)信息進(jìn)行實(shí)時(shí)分析、取證留存,,從而保障關(guān)鍵固證信息完整性,,有效解決威脅分析過程中丟失關(guān)鍵信息的問題。
智能學(xué)習(xí),,強(qiáng)化未知威脅
終端32類型多維原始數(shù)據(jù)探針,,結(jié)合云端智能分析能力,,發(fā)現(xiàn)隱蔽攻擊,從而強(qiáng)化終端社工釣魚檢測(cè)能力,。
