TDR威胁检测与响应
华清信安TDR威胁检测与响应技术就是当前的XDR技术路线。华清信安致力于威胁检测与响应技术的研究和落地,目前已经集成了EDR、NDR以及MDR技术。华清信安TDR技术路线采用开放式架构,不仅可以兼容自身的安全能力,还可以对外开放,兼容三方安全设备的安全数据,通过开放式的架构实现安全能力的不断延伸与扩展,为客户打造一站式的威胁管理平台。
集成的数据分析能力
收集多种来源安全数据,通过数据关联进行上下文分析,实现对端侧、网侧以及云环境的全面可视和情境理解,一旦有攻击发生,可以智能检测攻击的每个阶段,并快速识别。
告警压缩和降噪能力
基于上下文安全信息对报警信息进行关联分析,减少无意义的告警,只有有意义的告警生成安全事件对安全人员进行预警提示,通过智能关联分析,实现安全事件溯源。
自动化威胁响应
XDR通过SOAR技术实现自动化的威胁响应,减少人为操作失误的概率,提高安全运营效率。通过安全剧本编排将安全专家经验固化为自动执行的剧本,配合安全设备联动响应,达到快速阻断攻击的目的。
敏捷部署和效率提升
XDR解决方案所囊括的产品均为非侵入式部署方式,不影响用户现有网络架构。云场景分钟级接入,物理场景2小时部署调试完成告警降噪能力和多安全流程剧本极大提升用户安全事件处置效率。
实时威胁检测
天问XDR依托于SDO统一数据编排技术和UTBA威胁行为分析技术,结合ATT&CK和华清专家模型,能够对网络内所有数据进行采集、格式标准化、归并、关联分析。
自动化处置
天问XDR依托于SOAR自动化编排响应技术,对分析出来的重大安全事件形成安全策略,自动下发至网络内的各个安全组件上,形成SOPA全流程自动化处置能力。
Mod NDR 网络威胁检测模块
NDR全流量网络威胁检测与响应探针软件,支持对2-7层网络流量数据进行遥测和分析处理,并将结果上报MDR威胁管理中心。
Mod NDR-1100
Mod NDR-3100
Mod NDR-5100
Mod EDR 终端威胁检测模块
EDR终端安全软件,支持基于文件、进程、网络、注册表、用户活动等对主机威胁行为进行检测和分析,并将结果上报MDR威胁管理中心。
Mod EDR-win
Mod EDR-linux
Mod EDR-cmc
Mod MDR 威胁管理中心模块
MDR威胁管理中心软件,通过聚合来自终端、流量等的遥测数据,并结合内置威胁情报实现对威胁的全面检测和分析。
Mod MDR-200
Mod MDR-500
Mod MDR-1000
天问XDR由天问NDR网络威胁检测模块、天问EDR终端威胁检测模块和天问MDR威胁管理中心模块组成。 天问NDR网络威胁检测模块支持串接、旁路两种部署模式,实现网络防护能力和网络数据采集能力,并将采集的数据上传至天问MDR威胁管理中心模块。天问EDR终端威胁检测模块在各终端部署Agent,实现终端防护能力和终端数据采集能力,并将采集的数据上传至天问MDR威胁管理中心模块。天问MDR威胁管理中心模块支持云、本地两种部署模式。采集网络、终端、云的数据,结合威胁情报进行关联分析,并进行安全策略自动化下发。
旁路部署,不改变网络现状
结合先进的威胁情报和AI技术,平台能够更准确地识别和分析安全威胁,提高预警和响应速度。
开放的异构生态
平台能够对收集的安全数据进行有效编排,自动关联分析,帮助用户快速定位和应对安全事件。
全面安全检测能力
利用T-Story威胁叙事和ATT&CK模型,平台能够还原攻击者的行动路径,帮助用户了解攻击全貌,制定有效的防御策略。
安全事件回溯能力
平台拥有强大的安全事件流程剧本库,能够自动化执行安全运营流程,提高安全运营效率。
浓缩的威胁事件
平台能够通过SDO深度整合各种来源的安全数据,提供全面的安全态势感知。
安全时间快速响应能力
平台提供全天候的专家安全托管服务,确保用户的安全需求得到持续、专业的保障。
攻防场景/重点保障时期
从单点威胁检测能力提升到融合性全攻击链路检测,攻击检测有效性较单点硬件提升数百倍,可以迅速对已知/未知威胁进行能快速检测定位,并进行响应处置。
海量告警治理
部分客户安全产品众多、分散导致告警过载,无法集中检测、分析和高效的处理,导致安全产品和软件工具各自为战,事件处理和运维操作无法协同,通过部署天问XDR,实现对各业务系统和安全产品的日志信息、安全告警的集中存储与分析统计、将网络流量检测告警和主机安全告警结合威胁情报进行安全事件归并、分析和叙事还原,从而达到大批量告警日志噪音消除。
安全成本高
天问XDR采用SOAR安全编排自动化与响应技术,可对威胁告警进行剧本化编排响应处置,大量减少安全人员和时间投入,减低企业安全投入,实现低成本、高收益。
