剑幕主要由资产管理、风险管理、基线合规、入侵检测、响应防护五个核心功能组成， 在此基础上延伸出安全态势可视化分析、溯源取证、实时告警、日志审计及系统配置管理、OpenAPI 对接等其他能力拓展模块。

剑幕用于解决企业跨域和因跨域产生安全风险，将一个割裂的安全状态进行统一化安全管理的系统。通过安装 Agent 对主机上所有安全数据进行采集（包括主机信息、各类指纹， 文件、注册表、网络通讯行为、进程信息等等），将从 agent 收到的数据和行为进行检测分析和保存，通过服务端的检测引擎，从而进行漏洞检测和异常行为或入侵威胁识别。 云端用于提供图形化管理界面，一般是安全事件的可视化，检测配置等，并针对这些一 系列入侵威胁进行告警和处置响应的操作。

资产管理模块主要用于管理安装 Agent 的相关主机，感知与梳理主机上的资产信息，包含资产统计、资产列表、资产清点、资产关系四个子模块。 其中资产清点，从安全运维角度出发对业务资产精准识别和实时动态感知，通过资产聚合，指纹变更分析及指纹清点，自动化构建全面完善的资产信息与结构，实现对资产动态监控与可视化。

资产关系：通过资产分组聚合的方式，关联构建全局资产关系拓扑图，用于查看各个业 务主机资产间的访问关系图，实现展示资产级对不同业务间的关系链路图、主机业务架构交互复杂图，网络/业务架构可视化，基于不同云的资源扩展情况，展示风险级的威胁分布情况，风险态势可视化，辅助嗅探异常业务和可能存在的违规行为。

帮助用户持续性的监测分析和定位内部系统脆弱面，发现内部暴露的问题和风险，并提 供详细的资产与风险信息以提供分析，将安全隐患可视化，帮助用户及时处理重要风险，从 而提高攻击门槛，缩减攻击面与威胁暴露面。 包含风险总览、Web 漏洞、主机漏洞、服务配置风险、合规风险、应急检测六个模块。主动且持续性监控主机上存在的 Web 漏洞、主机漏洞、服务配置风险等，准确及时的发 现存在风险和可能导致的安全问题，且安全团队持续关注国内外最新安全动态及漏洞利用方法，通过持续更新的补丁库支持最新漏洞的检测能力，实现安全事件的应急响应。

其中合规基线，能够根据主流的行业安全合规标准，覆盖等保 2.0（二级/三级）、CIS 合规（level1/level2），支持自动检测服务器上的软件版本、系统服务、日志配置、账号配置等方面可能存在的风险点，提供自定义开启关闭检查项，支持将检测出的基线问题导出， 并针对所发现的问题项提供修复建议。

从黑客视角了解攻击方式，转化为对内在指标的持续监控和特征分析，将机器内部产生 的异常指标变化分析发现进行实时告警和迅速响应，通过多锚点与 ATT&CK 结合的方式实时且准确的感知到入侵事件，对进程变化、文件变化、进程变化等各类信息持续全方位的监控 与分析，从而发现异常主机及异常事件，并快速地进行实时告警。 共支持暴力破解、异地登陆、网站后门、系统后门、反弹 shell、提权检测、敏感操作审计、Web 命令执行、恶意软件的入侵事件检测。

4.4 针对存在恶意攻击行为的主机，此产品提供了响应防护的能力，除白名单外还包括网络 隔离、文件控制、进程控制三类，包括手动处置隔离和自动化的主动防御，此外还支持进程 信任策略（进程白名单功能）。其中，进程信任策略属于高级防护功能，目的可以保护服务器受到不必要的侵害，防止 不必要的资源浪费，通过一定的自学习周期，主机服务器的白名单进程视为有效进程（可正 常运行），非白名单进程启动时视为不可信的非授权进程会被禁止启动并告警； 此高级防护功能可根据业务场景需求，设置不同的策略生效时间，不在时间内将不做防 护。若正式运行的策略不在生效时间内，非策略内的进程启动时将不会被阻断。可满足某些 重点服务器在特定时间段内的重点防御保护； 一共分为四个阶段：，首先建议选择业务稳定的一个或多个目标机器，创建策略-> 学习阶段-> 试运行阶段-> 正式运行阶段。

多渠道多锚点的入侵检测，适配ATT&CK 模型

设立入侵锚点对应 killchain 攻击链及 ATT&CK 模块对 12 个攻击步骤，并提供入侵检测能力，覆盖暴力破解、异地登录、网站后门、系统后门、反弹 shell、Web 命令执行、提权检测、各类恶意软件等。通过主机数据源提取特征，做入侵信息匹配，通过行为入侵联动威 胁情报库、病毒库、自研安全策略库进行已知威胁和未知威胁的监控判断。

实时威胁感知与防护，提供主动防护机制

剑幕将手动阻断、自动阻断能力相结合，减少威胁造成的破坏， 如提供网络隔离功能限制连接的建立，对于反弹 shell 和爆破行为，可针对源头 IP 进行自动封禁，当探针检测到反弹 shell 和爆破行为后，会上报相应的安全事件到云端，云端服务器会跟根据配置来判断是否应对其进行阻断。当主动阻断开关开启后，云端会下发策略给对应的 agent 探针。同时云端会定时巡检所有的网络隔离策略，将到期的网络策略取消， 不会影响原有的防火墙规则。 其余还包括文件控制、进程控制等，覆盖反弹 shell、Web 命令执行、恶意软件等。

进程白名单，阻止非信任进程启动

针对某些稳定环境，剑幕提供了进程白名单功能，目的在于为服务器设置一道最严格的“防火墙”，禁止一切非信任的进程启动。当用户启用进程白名单功能以后，会历经三个阶段，分别是学习期、试运行期和正式运行期。在学习期间，在同一组策略下的剑幕 Agent 探针会收集当前运行的进程信息和历史进程信息，定期上报给云端服务器，云端会根据这些信息完善相应的进程白名单。学习期满后，进程白名单将会稳定下来，用户可以根据需要自行完善白名单。当用户确定好进程白名单后，可以进入 dry run 试运行模式，开启试运行后， 云端会将白名单下发给同组策略下的所有 agent 探针，并开始监控主机上的进程启动行为， 一旦发现有不在白名单中的进程启动，就立马上报进程启动事件告警，但在此阶段，agent 探针只是告警，而不会对进程启动进行阻断。用户可以通过告警的进程信息，来完善进程白名单。如果确定白名单上的进程都是可行的，并且也不允许其他进程启动，那么可以进入正式运行阶段，在该阶段，Agent 探针会对不在白名单中的进程进行阻断。

通过智能化资产梳理，完成对杂乱无序的资产清单进行有序梳理及管控，建立常态化的 资产日常运营。同时对资产存在的安全隐患等信息进行多维度展示。

在混合云场景中企业资产杂乱，在不同的云中会有多重的安全管理手段，没有办法进行 统一安全策略管理、安全事件展示和处理，数据分析也需要在单独的云内部做独立分析，部 署剑幕产品后，可解决企业跨域和因跨域产生的安全风险，将一个割裂的安全状态进行统一 化管理，包括资产可视、威胁可视、威胁防护等一系列手段。

持续检测是基础，快速响应是动力，帮助企业建立事前，事中，事后的全生命周期的主机安全防护体系与企业安全运营流程，做日常持续性的威胁检测与防护，从检测—响应—处 置—回溯的体系流程中以保障企业主机及业务安全。

企业安全运营：管控资产并实时监控主机业务的整体安全，对发生的入侵威胁事件实时告警并进行处置响应；企业安全运维：统一管控企业所有资产并进行资产建模信息整合，将资产指纹信息、漏 洞情况一目了然，帮助企业运维人员减轻运维压力；勒索场景防治：针对主流勒索、挖矿、DDoS 木马等病毒的实时拦截能力，可以实现对已知勒索病毒的一键防护，结合诱饵目录的能力实现对未知勒索病毒的检测和主动防御，或借助进程信任策略模块进行高级防护来保护服务器不被勒索病毒入侵；等保合规建设：定期对主机服务进行基线配置核查，针对检测到的风险配置项提供监控与修复服务，可用于监管机构和企业内部等保建设。