奇安信终端威胁检测与响应系统EDR_终端安全响应系统

奇安信终端威胁检测与响应系统EDR

奇安信终端威胁检测与响应系统EDR，结合威胁情报大数据，有效做到安全攻击的分析、研判和追溯。基于多维度、覆盖全球的数据收集，利用云端大数据技术自动化处理配合顶尖安全研究团队的人工运营，生成各种用途的威胁情报。通过数据聚合筛选、日志检索等方式，在特定的时间范围、特定的数据范围内，模糊或精确的检索自身所关心的上下文。

立即咨询

首页 > 产品中心 > 终端安全 > 奇安信终端威胁检测与响应系统EDR

外部威胁越来越多，传统终端全防御能力有限 icon

防御体系层面

传统攻击检测和防御体系依赖静态、被动和孤立的已知签名和规则，无法有效应对当前以规模化、自动化、0day高级持续性攻击为特征的各种复杂安全威胁。

检测追踪层面

随着黑客攻击的专业化和组织化，传统的安全控制措施无法检测和应对高级威胁不断升级和变动的战术、技术手段和过程，对未知威胁或高级威胁的检测往往力不从心。

安全响应层面

漏洞挖掘到规模化攻击的时间间隔正急剧减小，但客户不同组织间或同一组织内部的大多安全防护控制手段和技术设备是各自孤立的，无法在全网内共享。

缺少调查机制，响应效率低下 icon

高级威胁快速响应

EDR产品架构

功能说明

EDR主要包括两版本，EDR基础版和EDR高级版，主要功能如下

功能一：威胁告警

结合威胁情报大数据，有效做到安全攻击的分析、研判和追溯。基于多维度、覆盖全球的数据收集，利用云端大数据技术自动化处理配合顶尖安全研究团队的人工运营，生成各种用途的威胁情报。

功能二：威胁溯源

可视化进程树：展示具体告警的进程，及进程的上下父子进程信息。通过进程树的可视化帮助分析人员对威胁进行追踪溯源，确认问题根源以及该恶意行为带来的影响。

功能三：威胁追踪

利用数据聚合或高级语法主动发现威胁活动的线索并进行追踪，根据威胁MD5等信息确认终端受影响范围。通过数据聚合筛选、日志检索等方式，在特定的时间范围、特定的数据范围内，模糊或精确的检索自身所关心的上下文。

功能四：威胁处置

当终端发生威胁事件时，可对当前终端进行一键隔离，通过控制中心输入对应的进程名，进程MD5值，处置动作包括终止进程、进程隔离、进程删除等将威胁的影响面缩小到最小程度。

功能五：终端调查

对指定终端当下的状态进行深入调查，包括终端登录日志、启动项、计划任务、正在运行的服务等，以及最近一段时间内终端的进程行为数据信息。

功能六：威胁事件评估 icon

安全事件推送：奇安信威胁情报中心根据云端收集到的攻击情报信息，构建安全事件知识库，对新爆发的热点安全事件快速响应，并通过云端对奇安信天擎客户推送热点安全事件；风险终端评估：主动帮助管理员对全网终端进行风险扫描评估，评估出受安全事件影响的终端情况，并可对风险终端进行快速处置。

应用场景

终端威胁防御响应

通过在内部业务系统终端部署EDR客户端，可及时定位已经失陷的终端，响应已知、未知终端威胁，避免组织内部大面积终端安全事件的爆发，如勒索病毒全网蔓延。

等级保护合规建设

全面满足在等保2.0标准中针对主机防病毒\补丁、漏洞管理\集中管控等安全控制点的合规要求，帮助用户实现等级保护二、三级建设。

终端一体化管理

下发针对不同终端的安全策略,从而达到组织通过统一终端管控平台，对Windows PC、Windows Server、Linux server 统一资产管理、终端安全基线管理、终端安全风险管理的要求。

终端威胁防御场景

有效防御

终端威胁全面展示与定位

账号密码弱口令防护

快速响应

通过威胁情报中心实时推送告警数据对

未知威胁快速响应

全面防护

对webshell,暴力破解，钓鱼邮件等全向拦截阻断其传播

等保合规场景

合规管理

符合国家监管要求，满足主机恶意代码防范管理规定，确保终端合规接入。

分级保护

对各个管理区域进行全面的管理手段，实时响应防护，形成多位一体的管理体系

灵活处置

一键隔离威胁终端，协同联动处置，极大的缩短响应时间

便捷管理

资产统一管理，落实到人，风险快速定位

一体化管理场景

功能一体化

一个平台实现终端基础安全防护，数据安全，终端合规管控等。

统一安全防护

多类型终端，一体化策略配置，统一基线管理，统一防护。

统一维护

资产统管理，远程运维，便捷管理减少不必要的维护成本。

应用实例1 – Powershell无文件攻击检测 icon

powershell.exe 可以从网络下载脚本内容并在内存中执行，本地磁盘不会有脚本文件生成。黑客常常利用powershell的这个特点来执行恶意脚本，规避杀毒软件的查杀和监控。

应用实例2 – 基于钓鱼邮件附件确定受影响范围 icon

通过威胁追踪，对于钓鱼邮件攻击行为进行调查及影响面评估。实例：疑似发现一个“采购表”的钓鱼邮件，调查本次攻击的影响面。方法：搜索钓鱼邮件附件标题，找到“邮件附件传输”日志。

应用实例3 – 威胁狩猎高级查询 icon

产品优势

国内首家推出真正符合EDR定义的产品，EPP&EDR统一客户端、同台管理符合技术趋势；《IDC中国终端安全检测与响应市场研究》报告份额与产品战略两第一；国内首家通过MITRE ATT&CK框架测评，检测能力覆盖70%+攻击技术点；规模最大的专业威胁情报团队。

产品优势

大数据分析与检索
通过自研的大数据分析检索引擎，对终端采集的海量数据进行高效处理和快速分析，实现行为数据的实时检索与分析，帮助企业用户对终端数据集中化的管理

威胁情报的实时融合
实时接收奇安信云端威胁情报，并将情报转化成相关指标，与全网终端行为数据进行关联，快速定位沦陷终端。

高级威胁猎捕
以人工智能行为引擎为核心的高级威胁猎捕技术，覆盖多平台终端系统，提供高精度和多维度的高级威胁猎捕能力

强大的调查分析平台
提供对威胁进行追踪、分析和调查的能力，基于威胁事件及相关终端上下文信息进行深度挖掘，从而发现网络杀伤链，还原事件真相。

丰富的响应和处置手段
针对于高级威胁事件提供快速的响应手段，并可整合终端安全管理系统，针对不同类型的风险进行对应威胁遏制和安全修复。

用户价值

终端威胁可视化管理

通过对终端的的异常行为数据进行分析，结合上下文数据以及威胁情报推送数据的综合分析，使高级威胁的恶意活动清晰可见，实现对高级威胁追踪

高级威胁快速响应

通过终端对高级威胁的智能响应能力，可自身可以实现对自动攻击阻止、隔离修复、取证分析和追踪溯源，单次的积极响应转化成持续的静态规则，进而对高级威胁持续遏制，补齐终端安全管理平台对应高级威胁的能力短板

全方位的调查机制

可在网络中搜索和及钻取更多的威胁信息，分析渗透的真实目的，便于安全人员能够快速确定范围、影响，及时止损，提高应急响应的效率

EDR产品部署

产品联动-EDR&天眼、态势感知平台联动 icon

某政府单位：积极防御，补充EDR从容面对高级威胁 icon

建设过程

该政府集团首先在总部部署了一套一级平台，主要二级平台进行级联管理。在异地建设数据存储中心，通过分布式数据检索，提高威胁检测效率。

实现效果

依托奇安信EDR强大的高级威胁检测和响应能力，该政府单位补充了终端安全防御能力，有效解决了高级威胁的检测和响应难题，真正构建了覆盖全网16万终端的积极防御体系：事前，能够发现早期穿透防护措施的安全威胁，防止规模化安全事件的发生；事后，能够快速完成跨地域的威胁溯源取证，准确评估损失范围，为安全改进提供决策依据。

某金融客户：更全面，更有效的安全响应措施 icon

建设过程

结合客户网络现状通过级联的方式部署了一级管理平台和二级管理平台。对包含各类PC、无人值守终端以及移动智能设别终端大约60W点进行统一管理。覆盖多种各类操作系统，使用范围包括总行、数据中心、研发中心、各级分行办公人员等。

实现效果

将EPP和EDR进行融合打造终端一体化的解决方案，不仅能够节约管理和运维成本，防止不兼容性现象，提升用户体。更重要的是能够实现EDR和EPP的联动，EDR为EPP的防护策略提供依据和来源，借助大数据分析、威胁情报、等多种安全防护技术，第一时间对可疑行为进行拦截，提供更有效的安全响应措施，达到1+1＞2的效果。

部分客户列表