深信服安全感知管理平台SIP
首页
APT攻击愈发频繁
攻防对抗已成为常态在攻防对抗变成常态化的今天,攻击手段层出不穷、不断迭代,随之防护的手段也要跟着不断的演变,常态化、高效化的安全运营,已经成为了一种保障用户业务安全的重要手段
网络安全工作面临挑战
安全建设从被动防御到主动防御升级构建防御、检测、响应于一体的主动防御体系,重点关注持续监测、快速响应能力建设
态势感知落地过程中常见问题建设态势感知核心要素
什么是SIP安全感知管理平台SIP,是一款集“高级威胁检测中心”和“安全运营中心”二合一的平台,以UEBA、AI、威胁情报和安全编排技术为核心,为用户打造 精准检测,简单易用 的 “本地安全大脑”,提供可感知、易运营、联动闭环的安全态势感知平台。
产品价值主张高级威胁检测中心高级威胁检测中心:围绕事件查询、日志分析、辅助研判、追踪溯源全流程进行安全事件的持续化追踪和深入的分析。
安全运营中心SIP工作流程威胁分类与检测方法
高级威胁检测中心--逻辑架构
高级威胁检测中心:威胁感知层基于NTA(网络流量分析)技术、利用人工智能分析(南北向与东西向)流量和载荷文件,从而识别异常协议、异常流量、主机异常行为;匹配机制问题: 传统安全设备的判断机制是特征匹配,需要通过异常检测的方式才有可能识别出可疑攻击行为,0day、特种木马、隐蔽通道传输等未知攻击;监控网络流量、资产、设备,建模学习日常网络行为,这样对异常的连接、数据交互、用户变更等可以实现安全可视和追踪。
高级威胁检测中心:威胁确认层
高级威胁检测中心:威胁分析层通过ATT&CK矩阵图,让用户直观的定位业务威胁缺口,同时基于对应的威胁缺口进行下钻分析,最终进行威胁事件的研判。
高级威胁检测中心:响应处置层支持联动AF、EDR进行威胁检测、调查取证,最终采用自动化响应模块进行闭环处置。
高级威胁检测中心在护网场景的效果HW期间,SIP在webshell加密通信、命令执行、CS反连等检测上的能力与优势效果得到充分验证,并率先跟进了加密挖矿、log4j2漏洞攻击成功的检测,帮助客户快速响应问题,得到了大量用户的好评。
高级威胁检测中心在护网场景的效果HW期间,通过SIP+STA搭建的威胁检测与预警平台,第一时间帮用户发现了潜在的安全威胁和已失陷的主机,并迅速联动安全产品AF与EDR进行了处置,避免了被监管单位的通报处罚。
XDR平台持续增强SIP的威胁检测能力SIP对接XDR后,可实现检测能力的大幅提升。云端SaaS XDR平台:丰富SIP检测的数据来源,补充遥测点并平衡检出率与误报率,提升检测的全面性和精准性。终端侧:E的能力赋能N的检测,增强对攻击成功的发现和定性能力;对于反复出现或难以处置的安全事件,E+N定位问题根因,还原攻击画像和攻击入口,提升溯源取证能力,降低误报。网络侧:补充更多精细化的检测数据,通过关联分析,将告警聚合成incidents,有效削减威胁告警,降低漏报与误报,针对已失陷主机和安全事件实现快速的联动处置。
安全运营中心安全运营五步走,资产管理—精细化工单流程—“自动化响应”联动处置—安全可视化—PPT汇报
安全运营中心:资产管理
安全运营中心:精细化工单流程
安全运营中心: “自动化响应模块”联动处置
安全运营中心: “自动化响应模块”联动处置可通过编排自定义响应策略,帮助用户构建安全事件的标准处置流程,从而加速安全威胁响应及时有效应对各类安全攻击,构建安全防御体系,降低安全运营成本,且响应策略编 排采用模块拖动的模式,降低了重复运维工作量以及用户使用难度
安全运营中心:安全可视化
安全运营中心:PPT汇报可以通过自定义方式导出PPT格式的摘要报告,自行编辑快速完成汇报,无需借助研 发人员从后台获取报告。且可自行在自定义报告生成统计时间范围
用户价值
SIP部署图
产品专利情况截止至2020年,深信服SIP产品线实审专利 300+
2020产品荣誉
客户案例
案例一:上海XX集团安全运营建设
上海XX集团安全运营建设-运营实践
上海XX集团安全运营建设-事件处置流程
案例二:XX公司高级威胁检测中心建设
产品推荐
