360 安全分析响应平台 产品白皮书

Similar documents

IQ

册子0906

第 期 曹 源 等 形式化方法在列车运行控制系统中的应用

ChinaBI企业会员服务- BI企业

NX Nastran: 适于产品创新的新一代 CAE 系统 eds.com/products/plm/ds NX Nastran 优化工程最佳实践, 并与 NX 的世界级数字化原型开发和仿真能力结合起来, 以帮助企业降低产品全生命周期的成本, 获得竞争优势 NX PLM Solutions

电子-12页

国际政治科学 ¹ º ¹ º

燃烧器电子控制系统 目录 2

论文,,, ( &, ), 1 ( -, : - ), ; (, ), ; ;, ( &, ),,,,,, (, ),,,, (, ) (, ),,, :. : ( ), ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ), ( ),,,, 1 原译作 修补者, 但在英译版本中, 被译作


Bluemix 从概念到应用CN改

产品特点 多样化数据采集 支持各种网络设备 安全设备 漏扫设备 互联网爬虫 主机及应用日志采集, 可接入外部威胁情报采用主动 被动技术实时采集网络中的异构海量日志支持海量日志集中存储或分布式存储和全生命周期管理通过日志范式化和日志分类支持不同厂家日志与系统的快速适配 多引擎协同感知 安全分析引擎完成



01

水晶分析师

第 05 期 董房等 : 一种卫星遥测在线状态监测及分析系统的设计 WEB 1 2 总体功能及组成 2.1 总体功能 1 2 3Web 2.2 结构组成 Web WEB WEB 2.3 系统各模块接口关系


七天基于风险测试—Chinatest.ppt

CE UL LLHA5 / 7 ( LLGT22 ) ( LLHA9 ) ( LLGT22 ) ( LLHA9 ) 3 ( LLHA5 / 7 ) ( LLGT22 ) ( LLHA5 / 6 )

合伙人制度的合理性与挑战

表 年北京 伦敦 东京 纽约人口净迁移规模比较 图 1 伦敦 东京 纽约 北京净迁移率 (%) 比较 109

旅游管理 3 电气自动化技术 3 酒店管理 3 智能控制技术 4 计算机网络技术 2 供热通风与空调工程技术 2 电子信息工程技术 2 汽车检测与维修技术 2 物联网应用技术 2 汽车营销与服务 2 会计 3 软件技术 2 财务管理 2 计算机网络技术 2 金融管理 2 电子信息工程技术 2 工商企

闽教职成〔2013〕33号

untitled

腾讯安图高级威胁追溯系统产品白皮书 文档编号 密级内部使用 版本编号 1.4 日期 腾讯智慧安全


全通报预警工作力度, 严格落实重大突发网络安全事件事故报告制度, 确保国家网络和信息安全 2016 年, 习总书记在 4.19 讲话 中再一次强调网络安全建设的重要性, 并提出 : 要树立正确的网络安全观, 加快构建关键信息基础设施安全保障体系, 全天候全方位感知网络安全态势, 增强网络安全防御能力

恒生银行 ( 中国 ) 银行结构性投资产品表现报告 步步稳 系列部分保本投资产品 产品编号 起始日 到期日 当前观察期是否发生下档触发事件 挂钩标的 最初价格 * 最新价格 累积回报 OTZR 年 5 月 5 日 2018 年 5 月 7 日 3 否 728 HK Equity 3.7

上海现代设计集团建筑协同设计平台研究与应用

!!

HD ( ) 18 HD ( ) 18 PC 19 PC 19 PC 20 Leica MC170 HD Leica MC190 HD 22 Leica MC170 HD Leica MC190 HD Leica MC170 HD

年第 期

势做出预测 ; 整体性是态势各实体间相互关系的体现, 某些网络实体状态发生变化, 会影响到其他网络实体的状态, 进而影响整个网络的态势 2.2 网络安全态势感知网络安全态势感知就是利用数据融合 数据挖掘 智能分析和可视化等技术, 直观显示网络环境的实时安全状况, 为网络安全提供保障 借助网络安全态势

关卫和等 我国压力容器行业 检测技术的应用和进展中国工业检验检测网

ICS L 80 中国信息协会团体标准 T/CIIA xxx xxxx 政务网络安全监测平台总体技术要求 Technical Requirements of The Security Monitoring Platform for The national E- Government

华夏沪深三百 EFZR 年 9 月 14 日 2018 年 9 月 14 日 1 否 H 股指数上市基金 不适用 华夏沪深三百 EFZR 年 9 月 14 日 2018 年 9 月 14 日 1

第 二 十 章 提 高 农 业 技 术 装 备 和 信 息 化 水 平 第 二 十 一 章 完 善 农 业 支 持 保 护 制 度 第 五 篇 优 化 现 代 产 业 体 系 第 二 十 二 章 实 施 制 造 强 国 战 略 第 二 十 三 章 支 持 战 略 性 新 兴 产 业 发 展 第 二

重庆邮电大学 2018 年攻读硕士学位研究生总成表 ( 第 2 批 ) 专业 总成 003 自动化 控制科学与工程 李 * 自动化 控制科学与工程 杭 *

IDC 观点 我们的生活已经进入了 互联网+ 时代 这是一 个真正以技术推动企业转型的时代 互联网不仅影响着每个人的生活 也在深刻推动着各行业的变革 IDC早在2007年就提出了 第三平台 的概念 预示企业IT基础架构将慢慢向基于云 大数据 移动和社交网络等技术为代表的新平台上迁 移 2014年 I

政府与企业的交换模式及其演变规律! &!!! & % % ( (

2017 物联网安全现状 The Status of IoT Security in 2017 商业 消费者和工业之间连接的 事物 数量迅速增长 Number of connected "things in commercial, consumer and industries grow rapid

贸易一体化与生产非一体化

年第 期疏礼春等 煤矿安全风险预控管理信息系统 参数设置 权限设置 工作任务与工序 危险源管理 隐患治理

幻灯片 1

供充放一体电源及充电电源手册_0_.doc

PowerPoint 演示文稿

发酵底物的准备和人工瘤胃培养液的配制 瘤胃液采集


Contents Viewpoint Application Story 05 News & Events 06 Technology Forum Customer Partnership Cover Story Advisory Board Inside Advantech Beautiful L

FPGAs in Next Generation Wireless Networks WPChinese

Office Office Office Microsoft Word Office Office Azure Office One Drive 2 app 3 : [5] 3, :, [6]; [5], ; [8], [1], ICTCLAS(Institute of Computing Tech

新闻与传播研究

版权声明 本手册的所有内容 其版权属于北京天融信公司 以下简称天融信 所有 未经天融信 许可 任何人不得仿制 拷贝 转译或任意引用 本手册没有任何形式的担保 立场倾向或 其他暗示 若因本手册或其所提到的任何信息引起的直接或间接的资料流失 利益损失 天融信及 其员工恕不承担任何责任 本手册所提到的产品

魔鼬”木马DDoS事件分析

考生编号政治政治分外语外语分科目 1 科目 1 分科目 2 科目 2 分总分专业代码专业名称专业排名考试方式报名号 思想政治理论 62 英语一 78 数学一 108 普通物理 ( 包括力学 电磁学 光学 ) 物理电子学 1 全国统考 11

,,,,,,,,,,,,, ;,,,, ( ), ; ;,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ( ),,,,,,.,,,,,,,,,,,,,,

:, (.., ) ( ),,,,,,, (. ), ( ) (, ) ( ),, -,, (, ),,,,, ;,,, (, ),,,,,,,,, ( ),,,,,,,,, ;,,,,,,

OTZR 年 12 月 13 日 2017 年 12 月 13 日 2 否 中国电信 不适用 中国移动 华能国际 EFZR 年 2 月 13 日 2018 年 2 月 13 日 1 否 盈富基金

目 录 导 语... 1 第一章 数据泄漏已成全民公害且防不胜防... 3 一 信息 密码 保密数据是数据泄漏重灾区... 3 ( 一 ) 超过半数网民通讯信息泄漏... 3 ( 二 ) 1.35 亿企业邮箱有泄漏风险... 4 ( 三 ) 中国是黑客组织攻击的首要目标... 5 二 数据泄漏引发诈

一 土著华人! 二 逃亡移民 #!!! 三 早期的旅俄商人! 四 劳工

目录 1 产品概述 平台介绍 产品组成 产品架构 技术特点 全面的数据采集与分析 大数据基础架构 高性能关联分析 丰富的威胁情报 精准的多维度威胁

01

PowerPoint 演示文稿

三 消除阶段的监测 2

2011上半年中国网络安全报告

TIA 222 G.pdf


预防、检测与溯源勒索软件解决方案白皮书

xforce keygen microsoft office 2013

!!


气象 第 卷 第 期 对流不稳定度

绿盟威胁和漏洞管理解决方案

南京师范大学2012年度本科教学质量报告


( ),,,,,,,, ` ', :,,,,??? :,, ( : ~, ) : ( ) :,, ( ),,,,, ~ :, :,,,,, ( ),,,,,,, :, :, ( )? :, ( ) :, :

牢牢把握 三个见实效 的目标要求 一论持续用力深化 三严三实 专题教育 1

一 登录 crm Mobile 系统 : 输入 ShijiCare 用户名和密码, 登录系统, 如图所示 : 第 2 页共 32 页

经济社会 全球化与非国家行为体的跨境合作

论文,???, (, ;, &, ;,, &, ), (, ; &, ),???,, (, ;, ;, ),,,,, :,,,,,,,,, ;, (,, &, ), (., ),,, (,

材料导报 研究篇 年 月 下 第 卷第 期 种球的制备 单步溶胀法制备分子印迹聚合物微球 洗脱处理 种子溶胀聚合机理 种球用量的影响


三坐标重复性和再现性分析

中国社会科学 年第 期,,. % 1,,,. %,. % 2,, %, ;,,,, 3,,,, 4 ( ) ( ) ( ) (),, %, 5,,,,,,,,, 1 :,, ://.. / / - / /., 2 :,, 3 :, 4,,, 5 ( ),,, ( ),, ( ), ( ), ( );

程 * 电力电子与电力传动 全国统考 无 学术型全日制 信息科学与工程学院 李 ** 电力电子与电力传动 全国统考 无 学术型全日制 信

IV


考试时间课程名称级人数考试地点 机械工程 17 级卓越 1 30 D-386 机械工程 17 级卓越 2 30 D-386 自动化 17 级 1 30 D-3108 自动化 17 级 2 30 D-3108 电子信息工程 17 级 1 32 C-170 电子信息工程 17 级 2 32 C-242

Kubenetes 系列列公开课 2 每周四晚 8 点档 1. Kubernetes 初探 2. 上 手 Kubernetes 3. Kubernetes 的资源调度 4. Kubernetes 的运 行行时 5. Kubernetes 的 网络管理理 6. Kubernetes 的存储管理理 7.

二 政府事权划分标准的理论分析 一 公共物品受益理论

附件:1-1

;,,,, ( ),,,,, (. ) (. ),.,,,,,,,,, ( ),,,,,,,,., ( ) ( -, ). (. ) ;. (. ) ;. (. ). ( ),,,,,,,,,,,,,,,, ; ; ;,,,

目录 第 1 章 网络安全形势 全球网络空间发展情况及面临的挑战 网络空间体系形势 事件分析 网络空间的安全挑战 我国在全球网络网络空间面临的安全威胁及隐患 我国网络空间的发展

用户指南

自然科学版 预处理 视盘粗定位 视盘垂直坐标的粗定位 视盘水平坐标的粗定位

<4D F736F F D20CEF7C5C9B0A3CEC2B6C8D2C7B1EDB9ABCBBED1F9B1BE31312E646F63>

非营利组织专职人员专业化问题研究

# 抗日战争研究 年第 期! %! # # # # % #

Transcription:

360 安全分析响应平台 产品白皮书

目录 一. 引言... 4 1.1 文档主题... 4 1.2 适用范围... 4 二. 安全现状与挑战... 5 2.1 安全现状... 5 2.2 安全挑战... 5 三. 平台介绍... 7 3.1 方案概述... 7 3.2 方案内容... 8 3.2.1 态势感知... 8 3.2.2 仪表盘... 9 3.2.1 安全监测... 10 3.2.2 安全运营... 10 3.2.3 深度调查... 11 3.2.4 资产管理... 11 3.2.5 报告管理... 12 3.2.6 应急指挥... 12 3.2.7 情报管理... 13 3.2.8 数据规则... 13 四. 方案创新与价值... 14 4.1 技术优势... 14 城市级网络空间资产测绘... 14 开放式数据理解技术... 14 高级威胁情报赋能... 14 攻击链分析推理... 15 威胁图谱分析技术... 15 安全编排自动化技术... 15 高级专家协同防御... 16 4.2 产品价值... 16 安全大数据分析能力... 16 智能敏捷安全运营能力... 17 高级威胁情报监测能力... 17 融合安全运营服务... 17 2

版权声明 版权所有 2020 奇虎 360 公司版权所有 本文档的内容, 所有文本全部或部分均受版权保护, 三六零安全科技股份有限公司是本文档所有版权作品的拥有者 除非预先得到本公司的书面授权, 否则严禁对本文档进行复制 改编 翻译 发布等等 本文信息如有变动, 恕不另行通知 本文包含的信息代表目前三六零安全科技股份有限公司对本文所述内容的观点 由于用户需求 市场和产品状况的不断变化, 本文中的信息不代表三六零安全科技股份有限公司未来的观点, 且不能保证本文的内容在未来时间的有效性 三六零安全科技股份有限公司会根据需要不定期发布本文档的更新与修订本 商标声明 为三六零安全科技股份有限公司的商标 本文中所提到的有关产品或公司的名称均可能为相关公司或机构的 ( 注册 ) 商 标 注意 除非特别说明, 本文档中出现的安全分析与响应平台的名称在本文档中均代表三 六零安全科技股份有限公司 3

一. 引言 1.1 文档主题 本文档主要介绍了 360 安全分析响应平台的建设背景 平台概述 产品特点 等几个方面内容, 并对平台功能也进行了详细的介绍, 以帮助读者对 360 安全分 析响应平台达到快速和全面的了解 1.2 适用范围 本文档适用于需要对城市级安全运营中心 城市级态势感知建设或对 360 安全分析响应平台感兴趣的客户 如需要了解平台的更多信息, 请通过 https://b.360.cn 中的联系方式联系我们 本文档密级 : 公开 4

二. 安全现状与挑战 2.1 安全现状 伴随信息革命的飞速发展, 互联网 通信网 计算机系统 自动化控制系统 数字设备及其承载的应用 服务和数据等组成的网络空间, 正在全面改变人们的生产生活方式, 极大促进了经济社会繁荣进步, 同时也带来了新的安全风险和挑战 近年来, 网络安全事件多有发生, 因互联网应用遭受攻击而导致的经济损失巨大并有逐年增加的趋势 在互联互通的全球数字经济背景下, 我国加快 5G 基站 大数据中心 人工智能 工业互联网等新基建的建设进度, 随之将会带动网络安全的常态化建设 新基建与传统基础设施的安全问题会进一步的融合 网络空间日益复杂, 网络空间威胁事件逐渐倾向于有组织有规模的形式, 国家 重要的省 / 市成为更多攻击者觊觎的目标 为应对日益严峻的网络安全形势, 响应国家网络空间战略 网络安全法等要求, 针对国家关键信息基础设施的信息安全保障与监管需求, 建设网络安全态势感知平台, 确保对网络空间关键信息基础设施进行全方位全天候的掌控和预测, 在满足安全合规的基础上进一步提升安全能力建设 2.2 安全挑战 1. 辖区内各单位中普遍部署了各种类型的安全设备, 碎片化严重, 缺乏宏观层面的态势把控和整体评估 5

2. 网络安全监管与等保备案信息没有充分结合, 缺少对关键信息基础设施的精准防护 3. 辖区内重要资产梳理不清, 很多未发现的重要 影子 资产存在严重安全问题 4. 安全设备产生海量告警日志, 缺少对有效告警的优先级识别, 以及对告警有效性的准确性把关 5. 安全运营过程中手工流程过多, 安全运营自动化不足, 运营效率低下, 安全运营中心体系建设不完全, 缺乏专业安全运营团队支撑 6. 针对 APT 等高级威胁缺少防御手段, 缺乏优秀威胁情报支撑, 尤其是需要对监管行业关心的重点事件 重点规则进行单独监测 7. 安全事件的追踪溯源能力较弱, 缺乏对黑客 黑客组织的回溯 6

三. 平台介绍 3.1 方案概述 360 安全分析响应平台 (360 Security Analysis and Response Platform, 360-SARP), 面向网络安全监管单位提供关键信息基础设施威胁态势感知和安全运营中心能力 平台以关键信息基础设施资产为核心, 以大数据架构为基础, 连接 360 安全大脑知识云 情报云 分析云赋能, 采集本地多源异构数据, 结合城市级资产测绘 多维威胁知识图谱分析 安全编排与自动化响应 可视化呈现等技术, 配合本地安全服务团队, 帮助客户实现安全态势的可见性 安全分析调查能力 安全威胁的实时预警 通报预警 资产及漏洞的管理及敏捷化的应急响应能力, 协助客户快速发现 分析 处置安全事件, 实现安全闭环管理, 有效辅助监管单位构建网络安全中心化监管治理工作 如下图, 平台整体架构从下到上由数据采集与汇聚层 数据存储基础设施层 数据治理与融合层 数据分析调查层 业务应用与展示层构成, 同时具备相配套的标准体系以及安全保障体系 7

3.2 方案内容 3.2.1 态势感知 态势感知子系统对网络空间关键信息基础设施安全态势进行多层次 多角度 细粒度感知, 包括但不限于对重点行业 重点单位 重点网站, 重要信息系统 网络基础设施等保护对象的态势进行感知 主要分为两部分, 态势分析和态势呈现 态势分析 : 针对辖区内单位 网站数据采集分析, 通过安全监测子系统对 DDoS 攻击监测 高级威胁攻击检测监测 僵木蠕毒监测 重大漏洞监测等能力, 通过恶意代码检测 异常流量分析 情报联动 威胁关联分析 攻防模拟对抗等技术进行深度分析后, 结合监管单位资产视角, 对辖区内的单位安全状态进行宏观和微观层面的安全态势监测与分析 态势呈现 : 通过对威胁在行业 单位 类别 级别 来源 攻击 8

分析 同比 环比等的数据统计, 全方位地呈现整体安全态势 可帮助用户分别对宏观和专项的安全状况进行快速直观地了解, 包括综合态势 漏洞态势 攻击态势 应急指挥等 注 : 图中为模拟数据 3.2.2 仪表盘 仪表盘子系统是安全分析与响应平台针对数据分析时输出的统计分析结果数据的整体展示, 可通过默认集成的统计模板, 来定制展现优先关注的安全及业务等数据 数据来自各业务数据模块, 并可支持配置威胁 资产等相关专项仪表盘 作为平台数据分析转化图分析的可视化分析工具, 仪表盘子系统可对平台所有数据进行响应地聚合统计和专项分析, 不仅能够为安全运营人员提供高效可视的分析支撑, 还能在总结汇报场景下发挥数据统计可视化的能力 9

3.2.1 安全监测 安全监测子系统是安全分析与响应平台中多源异构安全数据的集中, 一部分为接入的原始安全数据, 另一部分为将多源异构数据接入解析 预处理 合并和关联分析后产生的安全告警数据 平台的运营人员可在该系统中查看威胁相关的数据, 提供威胁数据专项仪表盘, 以及全量原始数据检索 分析调查 告警数据管理 漏洞数据管理的能力 3.2.2 安全运营 安全运营子系统作为平台的运营抓手, 为平台运营人员提供良好地运营引导和支撑 该子系统聚焦告警数据运营能力, 分为告警任务生成 告警分析验证 告警处置响应 告警任务生成, 即对平台收集汇聚的各类安全数据, 例如网站告警 安全漏洞等, 通过相对公平的机制以任务的形式自动化地聚合告警信息, 从而减少运营人员验证告警的数量, 同时自动计算告警的可信度和处置优先级, 帮助管理员聚焦关键告警 告警分析验证, 即安全分析专家针对告警数据的真实有效性进行分析和验证 剔除误报告警, 并将模糊 低质量告警转化高质量 有价值的告警的过程 告警处置响应, 为有效安全事件提供开展相应的处置和响应动 作 包括日常的通报处置和预警, 以及进一步地深度调查分析等 10

3.2.3 深度调查 调查分析子系统是安全分析与响应平台针对网络安全事件的深度调查分析模块, 安全事件的有效性在不能通过简单分析手段来判定之时, 可以选择使用深度调查分析功能进行深度关联和调查分析 深度调查分析过程中, 高级安全分析专家可以调用安全编排与自动化的剧本或者动作, 对安全事件的关联维度和方向进行深度分析, 还可借助半自动化 ATT&CK 模型标签引擎和图关联分析等工具, 通过对安全事件的深度透视和关联性分析, 获得对安全事件本身和攻击者的攻击路径 技战法等信息更全面的可见性, 精准地将安全事件的相关信息及关联关系呈现出来 基于安全编排与自动化系统技术 (SOAR), 能有效优化安全告警的 MTTD( 平均检测时间 ) 和 MTTR( 平均响应时间 ), 为监管侧用户和安全分析人员的进一步决策提供及时有效地数据支撑 3.2.4 资产管理 资产管理子系统是安全分析与响应平台针对网络资产进行监测的子系统, 对汇聚上来的城市网络空间资产探测数据 手动填报等多源异构的资产数据进行统一的生命周期运营和管理, 数据来源主要包括资产探测设备的主动扫描采集 被动流量识别和人工录入 记录各种类型资产的详细信息, 并对资产信息的变化和异动进行监测和管理 目前主要包括资产概览 资产发现和资产管理三部分 可重点实现资产发现 资产运营 资产归档 资产管理 单位管理等业务能力 通 11

过主动扫描探测和被动流量识别相结合的方式, 结合信息补全和人工运营等方式完成资产数据的 准而全, 最终实现关键资产的识别发现与生命周期的管理 3.2.5 报告管理 报告管理子系统是安全分析与响应平台订制 查看和下载报告的入口 该子系统的数据源, 来自各业务数据模块, 并可支持对平台全量数据源统计分析 生成报告的能力, 贴合用户业务需求, 支持高定制化配置能力 3.2.6 应急指挥 应急指挥子系统是安全分析与响应平台针对网络安全突发事件进行及时分析研判和决策部署的功能系统 实现网络安全的态势感知 监测预警 指挥调度 通知通告 应急处置及资源协同等能力, 对网络安全威胁 风险 隐患 突发事件 攻击等进行通报预警, 对重点保护对象进行全要素数据采集, 重点保护, 并进行全要素显示和展示, 实现重大事件或特殊时期的指挥调度能力 12

3.2.7 情报管理 情报管理子系统是安全分析与响应平台接收 360 安全大脑情报云的赋能, 是 360 高级威胁情报能力赋能的主要体现 平台主动从云端情报平台获取最新威胁情报, 用于本地威胁检测和告警优先级排序 此外, 安全分析 调查过程中会主动连接获取威胁的上下文情报信息, 助力安全分析人员进行分析和研判 3.2.8 数据规则 数据规则子系统是安全分析与响应平台采集数据和分析规则设定的入口 安全数据接入 ( 包括各设备 系统的日志及告警, 以及流量日志 ) 是安全分析的基础, 而安全数据模型普遍具有碎片化的特点 360 分析与响应平台采用了安全日志数据建模技术, 预置可扩展的无模式元数据模型, 平台运行过程中可以便捷接入各类数据, 接入过程都通过直观便捷的可视化编辑器进行 13

四. 方案创新与价值 4.1 技术优势 城市级网络空间资产测绘 基于自主研发设计的全网空间测绘系统, 能够对全球全量 IPv4 IPv6 地址进行持续性测绘工作 通过结合人工智能与机器学习的方式, 具备全网资产设备精准发现 精准识别能力, 同时系统利用强大 灵活的底层核心扫描引擎, 将丰富的安全漏洞数据库 安全漏洞知识库与海量资产识别数据相结合, 从而达到对城市级网络空间漏洞风险感知的目标, 对潜在暴露在网络的影子关键信息基础设施进行全方位发现, 实现对网络空间真正的看见, 成为了网络空间中的预警雷达 开放式数据理解技术 对多源数据的汇聚, 是安全分析与响应平台 看得见 看得清 的基础 平台基于高易用性的数据源接入配置 解析配置功能和标准化的数据字典, 且支持用户按需自定义配置解析规则及映射字段, 让数据接入和解析更加开放且高效 高级威胁情报赋能 360 安全大脑情报云高级威胁情报能力行业领先, 目前已发现对 我的 40 多个 APT 组织和多起重大攻击事件 平台联动云端高级威胁 14

情报数据, 为防御能力建设从 被动防御 到 主动防御 的快速提 供有效支撑 攻击链分析推理 攻击链分析模型通过对平台收集的安全日志和流量日志进行 MITRE ATT&CK 框架化处理, 在平台深度调查子系统中, 会自动反 向推理还原攻击情景, 最大化观察网络攻击者的技战术 威胁图谱分析技术 基于 360 安全大脑的知识云图分析技术, 在实时关联的同时, 便于对威胁数据和历史分析行为和进行回放和总结, 是针对安全时间进行深度安全分析的黑科技 目前 360 威胁图谱综合恶意代码样本 C2 信息 whois 证书等信息, 已经形成百亿顶点 千亿边的图数据库 安全编排自动化技术 现代的安全运营中心引入安全编排与自动化响应技术 (SOAR) 来更一步解决碎片化的安全设备接入 管理联动 安全运营人员水平参差不齐 告警分析响应效率低下 安全运营手动流程过多等挑战 平台实现的安全编排与自动化响应的重要核心技术之一, 剧本库 (Playbook) 动作库技术, 贯穿事件监测 分析 调查 响应流 15

程 通过该功能, 将不同的系统协同联动起来的目标, 就像一个交响乐队的指挥 平台的安全编排与自动化具备流程化自动执行功能, 能够依据场景或案例, 制定执行计划和执行脚本, 并具备自动 半自动和手动执行的能力系统 通过内置 playbook, 将大量的数据按照预定的模板使用自动化方式去处理, 有效优化安全告警的 MTTD( 平均检测时间 ) 和 MTTR( 平均响应时间 ), 避免人在处理大量数据的过程中带来的误差或失误 与此之外, 提供高级自定义能力 通过编程的方式, 不仅可以输出特定行为和专项场景的行为脚本, 还可以针对节点之间等进行策略的自定义定制, 为安全编排工具提供更灵活智能方式 高级专家协同防御 360 安全专家团队全程参与安全事件处置过程, 从事前 事中 事 后, 做好分析 研判 处置, 结合 360 安全大脑专家云服务 (MDR) 赋 能, 帮助各单位做好协同防御 4.2 产品价值 安全大数据分析能力 基于平台安全大数据处理技术, 结合 360 安全大脑的先验的知识 云 情报云 分析云引擎赋能 对海量安全数据进行安全分析, 可以 发现很多传统手段无法发现的安全问题 16

智能敏捷安全运营能力 面对海量告警日志的日常安全运营, 平台结合 360 安全大脑情报 云 机器学习降噪 高性能流式关联 安全编排与自动化响应技术 (SOAR) 等技术手段, 构建本地化的智能和敏捷安全运营中心 高级威胁情报监测能力 360 安全大脑情报云高级威胁情报能力行业领先, 目前已发现对我的 40 多个 APT 组织和多起重大攻击事件 平台联动具有自运营机制的 360 本地和云端的高质量威胁情报数据, 自动关联碰撞出威胁与预警信息, 是安全能力从 被动防御 到 主动防御 转换的有效手段 融合安全运营服务 安全运营服务 (MDR) 采用一体化集成方式为企业提供端到端的服务 基于 MDR 服务模式, 降低平台建设人员 技术 运营经验不足的风险, 可大幅度降低安全运营带来的负担 MDR 支持 360 安全大脑专家云远程服务, 也支持本地安全专家提供驻场服务 17

2024 © docsplayer.com 隐私 | 条款 | 反馈