SIP是什么: 产品设计以全流量分析为基础,基于探针等安全组件,采集全网的关键数据,以安全感知平台为安全大脑核心,结合威胁情报、行为分析、UEBA、机器学习、大数据关联分析、可视化等技术对全网流量实现全网业务可视和威胁感知,从而实现全面发现各种潜伏威胁。
分析中心分析中心主要涵盖威胁分析、访问分析、情报分析、行为分析(EBA)、SIEM分析及日志检索等功能,实现客户网络安全感知的全方位、全覆盖分析
1、威胁分析 SIP通过威胁分析模块,可对外部威胁、横向威胁、外连威胁、文件威胁及邮件威胁等威胁进行细化分析;
1.1、外部攻击总览 互联网对内网发起的攻击可分为高危攻击、残余攻击、暴力破解、成功的事中攻击及外部风险访问等;
1.2、高危攻击分析 高危攻击是指来自外部的高危性攻击威胁,如入侵成功,将对客户网络安全造成较大威胁; 整体展示
1.2.1、遭受攻击最多的服务器TOP5:可查看到遭受高危攻击最多的服务器,显示前五; 1.2.2、攻击源TOP5:可点击<更多>查看全部攻击来源,并支持数据导出; 1.2.3、攻击源地区TOP5:可以查看发起攻击最多的国家或地区,显示前五; 1.2.4、攻击类型TOP5:可点击<更多>查看攻击类型对应的受害者IP等详细信息,并支持数据导出
1.3、残余攻击分析 残余攻击是指部署在防御体系之后的探针所检测到的攻击,存在此类攻击,说明相应防御设备的防御能力需要升级,或者防护策略有疏漏,需要进一步加固;
1.4、成功的事中攻击分析 SIP可以检测SMB暴力破解、RDP暴力破解、MySQL暴力破解以及struct2漏洞利用四种的成功攻击事件。管理员可点击<配置>按钮,进行此功能的开启。 将开启分析并展示struts2命令注入、暴力破解、文件包含攻击、SQL注入、WEBSHELL上传等攻击行为的成功日志,但需要消耗一定的系统资源;
1.5、外部风险访问分析 来自外部的风险访问是指外部主机通过远程登录、数据库等应用访问内部主机,存在被黑客控制的风险。SIP可通过[外部风险访问]页面,为管理员展示外部风险整体情况,并指引进行具体分析与对应处置;
|