|
AF8.0.12版本新功能介绍
Stepone 全局展示 首先管理员登录到下一代防火墙平台,在总览处可以全局查看当前的安全待办事项,展示业务侧和用户侧的失陷风险。
Steptwo 定位用户侧的失陷风险
在“总览”页面下钻到“用户安全界面”,在用户安全界面-用户详情可以清晰直观的看到用户侧的风险,包括已失陷、高风险、中风险、低风险,并通过威胁性和确定性的二元矩阵定位失陷风险的全局分布情况。
在用户详情处,基于单个主机给出失陷风险的优先处置级别,可以点击单个主机进行失陷风险的处置。
StepThree:定位单体设备风险 从用户安全页面下钻到单个失陷设备维度,对于失陷的分析主要来自于五个方面: 高级威胁、夜间外联、高级攻击、恶意外联、可疑进程文件。由下一代防火墙联动EDR并通过安全云脑-云鉴模块整体关联分析之后得出主机失陷风险的结论。
具体关联模型介绍 在下一代防火墙的流量侧进行流量分析对夜间外联、恶意外联、高频攻击进行统计,同时和云端联动,基于NTA技术及威胁情报对高级威胁(如C&C通信)进行识别,和EDR联动,基于网络侧发现的外发域名,联动终端定位可疑的进程和文件。
高级威胁:对失陷主机发起的攻击进行检测,基于C&C的隐蔽通讯过程,发现IP扫描、口令爆破,DDoS等内部攻击行为; 夜间外连:在夜间20:00至次日08:00期间检测失陷主机发生的恶意外连行为; 高频攻击:周期性针对资产遭受的攻击进行统计分析,基于攻击次数来定位失陷风险; 恶意外联:针对恶意连接的控制端进行地域分类,明确攻击者所处位置; 可疑进程文件:防火墙自动化将域名传递到EDR,进行进程关联,定位出可疑的文件。
主机行为分析 在高级威胁的分析中,除了下一代防火墙自身的协议解析外,同时联动了云端通过NTA技术进一步对主机的行为进行分析。
对失陷主机访问的恶意域名进行统计,当管理员将鼠标悬浮在特定的恶意连接时,可以定位具体的域名,对恶意外联行为进行有效的举证。
网端云数据联动展示失陷链 通过防火墙定位失陷的主机之后,防火墙自动化将域名传递到EDR,由EDR来进行进程关联,定位出可疑的文件。(防火墙定位的域名以及EDR定位的文件均会受到安全云脑-云鉴进一步的判断)。 云端情报举证 如果域名和文件是由云端识别的,通过点击域名和文件也可以直接跳转到云端的威胁情报平台展示详细的举证信息。
StepFour 联动EDR处置闭环 点击终端的文件,首先基于终端上报的信息,对主进程、子进程、释放的文件等终端产生的一系列动作进行举证,让管理员可充分知晓终端执行的非法操作。 非法进程链展示,通过对进程进行溯源,对违规的进程呈现给安全管理员,比如主进程释放子进程,子进程调用文件等行为进行细粒度展示。
在该界面对选中的进程进行一键隔离
或者在“用户风险汇总”界面,点击处理,分别显示安装EDR的情况和未安装EDR情况下的处置方式。
如果安装EDR,则可以选择隔离恶意文件,一键式快速隔离; 如果尚未安装EDR,则可以选择推送杀毒通知并断网,如果客户尚未购买EDR,可以获取单机僵尸主机处置软件,如果客户购买EDR,则可以在重定向页面获取EDR。
StepFive多失陷终端全局处置 当安全管理员对失陷风险处置比较熟悉之后,可以选择全局处置更加快速的处置全局的失陷风险。选择多个主机或者全部主机,隔离恶意文件。
StepSix 闭环风险持续跟踪 同时当同一个终端或者网络内不同的终端,反复出现相同的失陷风险,平台可提供自动化处置功能,当再次发现终端访问相同域名的时候,可以将域名关联的恶意文件进行自动处理,保证发生过的失陷风险不会再次发生。
通过“处理结果”界面,对失陷主机的处置所有的过程进行全面审计记录。
看了以上介绍, 有没有心动呢?点击本帖右上角链接,申请免费体验吧! | 
发表于 2019-8-1 18:35
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2019-8-2 17:39
弱弱的问一句,向我们这些手残党,假如不小心隔离了误判高危进程和文件后,有恢复和添加信任吗?
技术研究员3级 
