微步在线OneCare安全服务平台_威胁检测与分析服务

申请试用

微步在线OneCare安全服务平台

微步在线OneCare安全服务平台，秉承客户至上原则，以攻防实战技术为核心、探究网络安全真相为行动指南，为提升客户实战化能力提供最专业的安全服务。

立即咨询

首页 > 产品中心 > 网络安全 > 微步在线OneCare安全服务平台

企业安全运营现状

01
为满足合规，企业大量堆砌设备但无人运营

02
等保2.0要求企业具备监控预警与应急处置能力

03
国家级大型HW攻防演练对企业提出了实战化要求

04
勒索、数据泄露和APT等安全事件层出不穷

痛点分析

安全分析人员紧缺
专职安全人员少，众多设备没人看，专业分析人员少，发现事件没人管，1人天只能处理4-5个告警事件。

威胁发现愈发困难
0day、无文件攻击、定制化恶意程序，社工手段精准投递，代码混淆、白利用、隐蔽信道等无法有效发现，MTTD>170天。

处置溯源能力缺失
无法精准定位内部被控主机IP，持久化驻留隐患无法彻底清除，无法完整回溯攻击过程，无法对攻击团伙进行溯源。

实战化运营体系未建立
极少企业应用情报事前预警，发现威胁事件应急处置极慢，缺少事后内外部溯源能力，无法进行安全加固。

安全服务体系

秉承客户至上原则，以攻防实战技术为核心、探究网络安全真相为行动指南，为提升客户实战化能力提供最专业的安全服务。

攻击面梳理服务介绍

攻击面梳理是一种流程化的跟踪企业已知/未知资产、漏洞风险和数据泄露的订阅服务

资产全面发现盘点黑客视角下的攻击媒介

基于威胁情报能力、字典爆破技术和网络空间测绘引擎，全面发现互联网暴露资产；结合大数据人工拓线发现影子资产。

数据泄露监测掌握互联网数据泄露情况

数据资产泄露风险管理，对网盘、文库、暗网、公有/私有代码仓库进行泄露行为探测发现。

资产风险管理梳理黑客视角下的攻击范围

互联网资产风险全面梳理和发现，针对进行风险端口开放、http头安全配置、SSL证书风险、威胁情报标记检测。

漏洞风险管理明确黑客视角下的攻击入口

基于多年漏洞情报以及大量自研漏洞poc形成的漏洞规则库，全面发现资产漏洞；结合VPT漏洞优先级技术，以利用最合理的资源和最少的时间最大程度降低由漏洞造成的风险。

渗透测试服务介绍

样本分析服务介绍

服务概述

样本分析服务是为满足企业在安全运营过程中遇到疑似恶意样本无法界定或已知恶意样本不知其功能的情况下提供的一项安全分析服务。基于微步云沙箱和样本分析专家多年的病毒分析经验，对可疑样本提供自动化判定和人工分析，包括黑白判定、功能分析、团伙归属定性及处置建议。将安全分析能力转化为可见的安全处置能力，使企业不仅知威胁、更懂威胁。

服务内容

样本的黑白鉴定，针对恶意样本提供紧急处置建议。深入分析恶意样本，剖析其恶意功能，提供专业的处置建议。分析恶意样本团伙归属，了解攻击性质及危害。周期性总结针对性攻击事件，为安全运营提供经验参考。

服务价值

排查潜在的恶意代码隐患：快速鉴定样本是否恶意，阻断传播，将影响和损失降到最低。深入分析恶意样本了解其功能：通过深入分析恶意样本，了解详细行为和功能，从而全面防护清除。团伙归因定性：根据样本层面特征进行关联拓线，明确恶意样本所属家族/团伙，从而确认攻击性质，是普通攻击还是黑客组织/APT组织的定向攻击。

样本分析服务流程

发起样本分析请求

钓鱼邮件附件、可疑/外联进程、未知自启动文件

云沙箱S初步分析

静态信息提取、情报判定、多引擎检测、动态行为分析

人工二次鉴定

恶意样本类型、连接的C2地址、释放的文件路径、启动项、清除方案

深入逆向分析

释放的文件、持久化项、横向传播能力、传输数据、IOC、样本特征

协助处置

处置建议、专杀工具

团伙归因定性

样本关联拓线、归属团伙、历史攻击活动、攻击性质及危害

溯源分析服务介绍

服务概述

溯源分析服务是为满足企业安全运营中发生安全事件需要定位攻击发起者或攻击发起组织的情况下提供的一项安全服务。发生安全事件后，微步会对事件线索进行溯源并给出攻击溯源分析报告或攻击团伙溯源分析报告，同时提供攻击团伙常用攻击手法，攻击者资产等关键信息和对应防护措施。为企业进行针对性处置提供专业佐证。让企业做到知己知彼。

服务内容

对安全事件的关键线索如：攻击IP、钓鱼邮件链接、钓鱼样本等进行关联拓线分析对攻击者进行溯源和黑客身份画像：追溯攻击者身份和攻击意图。产出专业严谨的分析报告。周期性总结出常针对我方进行针对性攻击的攻击者/组织，攻击手法等高价值信息，为安全运营和防护提供经验参考。

服务价值

推动安全事件闭环：快速对攻击者/组织手法，资产，身份等进行定位，推动安全事件的处置闭环。为企业进行针对性处置提供专业佐证。周期性汇报总结：周期性总结出常针对我方进行针对性攻击的攻击者/组织，攻击手法等高价值信息，为安全运营和防护提供经验参考。知己知彼，攻击定性：通过溯源让企业对攻击事件的攻击者背景有明确认知，进一步确认攻击是否为针对性攻击。

溯源分析服务流程

发起溯源分析

钓鱼邮件、恶意攻击IP、钓鱼链接、黑灰产线索等

溯源价值判断

自动化情报查询过滤、人工二次确认筛选出有价值溯源线索

样本线索提取

若线索中包含恶意样本，则对其进行分析，提取出溯源关键线索

线索溯源分析

结合微步独有的“Z”溯源系统进行攻击手法分析、域名、IP溯源、攻击资产拓线、攻击组织关联等

输出结果

将溯源结果以简报形式先行输出，后续补充为完整溯源报告

交付报告

将溯源结果、过程及黑客画像等整理输出为完整的溯源报告并交付

攻防演练服务介绍

服务概述

通过站在世界前沿攻击者的视角，以独特的洞察力来解构网络对手的思维方式、技术手段以及攻击目的，针对目标系统、人员以及软硬件执行多角度、混合对抗的模拟攻击，以此来检验企业安全态势和响应恢复能力。

服务内容

边界网络突破：互联网边界系统0day、互联网敏感资产泄露、现场漏洞挖掘、和其他攻击方式配合打组合拳。社会工程学投递：邮件投递、社交媒体投递、其他交互投递、近源U盘投递。供应链打击：获取系统源码进行漏洞挖掘、获取运维权限、获取VPN权限、获取目标单位数据、获取社交关系。物理近源渗透：抵近WIFI破解、抵近流量劫持、抵近门禁复制、门禁绕过进入办公区/机房。

服务价值

以攻促防，提升安全水位并持续升级迭代。暴露视野外的安全风险，避免关键环节“想象式”防御，让企业管理者更加清晰的认识到企业的真实安全态势。磨砺防守团队监测、应急、阻断、恢复等关键动作的及时性、有效性。

红队评估服务介绍

服务概述

基于微步在线红队专家能力及多年的攻防对抗、APT对抗经验构建。通过模拟APT攻击的方式，对企业信息化资产以及可能产生危害的安全风险进行测试。通过多维度、多视角安全攻防对抗，动态检测企业安全防护的整体水位。

服务内容

入侵模拟：由红队专家从攻击者视角，利用掌握的最新攻防技术，从外网通过最新的攻防技术手法对目标企业进行全链路的攻击模拟，全方位的发现企业互联网边界、内网不同区域、云上等不同区域的安全风险，包括不限于漏洞、策略配置等问题，并最终输出一份完整的攻防模拟报告，用于后续企业针对性的进行调整和优化。场景化：勒索场景、供应链场景、近源场景等。红队专家咨询：基于红队模拟服务的产出，协助企业运营团队处理其中的安全风险，提供可落地的修复建议和整改方案，实现整个红队服务的闭环。

服务价值

场景化，可针对不同场景提供针对性定向入侵模拟。暴露视野外的安全风险，避免关键环节“想象式”防御，让企业管理者更加清晰的认识到企业的真实安全态势。磨砺防守团队监测、应急、阻断、恢复等关键动作的及时性、有效性。

人防：将安全意识融入常态工作之中 icon

在众多的安全防御手段中，通过网络钓鱼演习提高员工安全意识和钓鱼邮件识别能力，是在当前防御愈演愈烈的网络安全形势下，最经济的一种防御手段。

钓鱼演练服务流程

调研分析阶段

测试实施阶段
投递目标确定

投递方式确定

确定钓鱼模板

发送钓鱼邮件

检测发送状态

总结复盘阶段
生成演练报告

统计演练数据

分析演练结果

讨论解决方案

全员结果通报

安全意识培训阶段
确定参与培训人员

确定培训方式

确定培训内容

确定考核方式

高级情报订阅服务介绍 icon

微步情报局（即微步在线研究响应团队）保持着对全球近300个高级APT组织及大型黑产犯罪集团的追踪分析。截至目前，已经为我国金融、能源、互联网、政府等数百家客户提供高级威胁分析服务，协助客户分析、溯源、追踪各类针对性威胁和黑客团伙，通过主动与被动相结合的方式输出各类安全事件分析报告，为客户业务提供高价值的分析结果及处置建议。

高级情报订阅服务形式 icon

漏洞情报订阅服务介绍 icon

威胁检测与分析服务介绍 icon

托管检测与响应服务(MDR) 介绍 icon

MDR（托管检测和响应服务），解决企业安全运营中的核心问题 -“持续的威胁检测与响应”

托管检测与响应服务(MDR) 特色 icon

7*24持续监测、主动发现威胁

终端、流量检测设备的检测精准性

人员威胁狩猎、洞察能力聚焦真实威胁事件

多级专家协同、服务能力最大化

安服工程师、安全分析师组成团队有力支撑

一线威胁监测、二线分析师威胁狩猎，全面提升检测能力

事件及时响应、减少业务损失

对于发现威胁事件快速处置，及时止损

不断减少威胁发现和响应之间的时间

专业威胁情报、实现威胁预警

全球APT组织动态持续追踪、重大安全事件及时分析

发布威胁预警通报、提前加固布防

应急响应服务介绍

服务概述

遭遇重大安全事件（勒索加密、数据窃取、漏洞攻击、主机被控等），提供事件定位取证、隔离清除、溯源分析、安全加固服务。服务&订阅：按人日进行服务订阅，按次数进行服务订阅。

服务核心价值

响应及时：立即响应、2小时到达现场。人员专业性：资深应急响应专家快速止损、保障业务安全。威胁分析彻底：全面发现、定位、处置、内部溯源、外部溯源及追踪。处置彻底：通过样本分析和溯源分析，对被控源头主机启动项、注册表、文件以及其他感染主机进行深度清除。

服务内容

取证定位：定位威胁源头并进行取证分析，通过情报数据发现内部更多失陷节点。隔离清除：分析师利用专业工具对文件、注册表、定时任务、启动项等进行全面深入的隔离与清除。溯源分析：通过行为及样本分析，对入侵节点、攻击路径、黑客画像等进行全面的溯源分析，进一步揭示事件全貌。狩猎预测：依托黑客追踪溯源、狩猎技术，持续对威胁事件攻击者进行跟踪，发现攻击者资产和技术的变化，指导企业进行提前预防。安全加固建议：对漏洞薄弱点、安全体系、处置机制进行加固建议。应急响应报告：对事件应急响应过程进行描述和分析，提供处置策略、安防加固和整改的专业建议。

HW2022服务框架 icon

重保服务框架

微步在线重保服务方案本着“准备阶段全面彻底、防护阶段高效深入、总结阶段务实有效”的原则进行设计。重保服务方案包含风险排查、威胁监控、应急响应、网站监测、重保情报订阅、重保总结、建议方案等服务内容，服务项覆盖重保准备、防护和总结三个阶段。

驻场安全运营服务框架 icon

安全团队能力与认可

工具

便携式流量检测设备，X情报社区，S云沙箱，“微图”网络空间测绘系统，漏扫系统，Star系列攻防工具平台，应急响应工具集。

团队

微步情报局，219攻防实验室，应急响应团队，漏洞响应团队，高级威胁追踪团队，百余人安全服务及分析团队，覆盖北京、上海、南京、深圳、广州、武汉、成都、昆明等主要区域。

案例

某证券监管客户主防厂商，连续2年0失分，某全球市值Top3巨头中国区唯一综合安全服务商，某大型运营商行业头部监管单位攻防演练第一名，2022年北京市攻防演练一等奖，2022年北京市网信办攻防演练攻击队第二名，某大型央企“海莲花”APT对抗专项事件响应服务商，独家发现并响应数十起APT组织Winnti供应链攻击，为某国家部委发现并阻断APT组织Bitter数据窃取事件。

资质与荣誉

CNNVD二级技术支撑单位，CNCERT网络安全应急服务支撑单位（省级），CCRC信息安全服务资质（应急/风险评估/安全运维），2022年北京冬奥会优秀安保支撑单位，2017-2019年夏季达沃斯论坛特聘网络安保单位，2019年建国70周年庆网络安保优秀技术支持单位，2018-2021年进博会特聘网络安保单位。

一流的安全情报能力——威胁情报 icon

一流的安全情报能力——漏洞情报 icon

一流的安全情报能力——检测引擎 icon

UniScan Webshell检测引擎

聚合了机器学习、静态、云、深度学习多款WebShell引擎，有效对抗混淆变形及编码绕过。支持检测ASP/ASPX/JSP/PHP全部类型WebShell，综合检出率在99%以上，已经应用在河马工具中。

MicroNoPE 富文本文件检测引擎

支持全部Office已知漏洞的精准识别。支持常见漏洞利用行为识别，发现0day漏洞。

MicroTraffic 流量攻击检测引擎

MicroTraffic流量检测引擎可以持续检测0day漏洞攻击，支持检测常见漏洞攻击、dnslog、攻击工具等攻击行为。该引擎具备通用攻击识别能力，精准识别扫描、通用命令执行、各类隧道通信、DGA等攻击手法。对流量侧攻击行为具备精准检测能力，误报率低于0.03%。

MicroAPT APT检测引擎

MicroAPT是一款能够为客户提供针对高级威胁检测的模块化产品，支持对全球活跃近百个APT组织特马样本的识别检测。基于该引擎累计检测出2w+APT组织攻击事件。

MicroMap 测绘引擎

支持近1w网站应用指纹识别,支持1.2w主流服务识别。支持全端口测绘及全CPE版本漏洞识别匹配。累计实现全球百亿资产的测绘识别能力。

MicroPhish钓鱼检测引擎

MicroPhish钓鱼检测引擎基于AI模型，覆盖邮箱、银行证券App及社交通讯网站等数十个种类，覆盖度高达98%，准确率高达99%以上。日均新发现数千个最新钓鱼网站，覆盖国内主流金融、证券、互联网、运营商等行业。

重点行业客户全面覆盖 icon

产品推荐查看更多>>

安恒明御入侵检测系统NTA

明御入侵检测系统（DAS-NTA）以全面深入的流量解析为基础，通过智能语义分析、精准全面的检测规则、多角度分析模型、流量异常识别等技术，提供“可信、精准 ”的网络攻击和威胁事件发现、攻击源与攻击目标定位、攻击行为关联分析能力，还原入侵检测事件，多维视角实时呈现全网安全态势，为用户网络安全保障工作提供有力支持。NTA的检测能力是以高性能IDS检测为靶向的专项解决方案。

预警重要信息系统发生的安全事件

完善核心系统安全防护能力

细粒度控制策略

立即咨询查看详情

ITM内部威胁防护体系

ITM 采用先进的统计学异常分析、双向循环神经网络、大数据分析、贝叶斯信念网络等技术对用户行为特征进行深度建模，发现内部风险行为和异常行为，将用户风险评分结果与UCS统一内容安全策略集成，实现对风险用户进行智能化、实时监督和控制

高效稳定

安全可靠

立即咨询查看详情

网络流量融合探针

网络流量超融合探针采用特征检测技术、异常行为检测技术、威胁情报技术、黑白名单技术、基线技术、静态APT技术等多种相结合的方法，通过对网络流量的深度包解析和流解析，实现了网络各种威胁的全面有效检测。

安全可靠

高效稳定

立即咨询查看详情

数字化社区查看更多>>