华清信安是国内第一个发布Open XDR开放式扩展检测与响应平台的安全厂商,天问XDR是华清信安第一代Open XDR的成果结晶,迄今已申请自主知识产权项近百项,产品通过公安部等部门测评认证,以机器学习、威胁情报、SOAR安全自动化编排等新技术为支撑,终端采用人工智能引擎、病毒查杀引擎、终端检测与响应等威胁检测引擎,流量侧采用语义分析、正则匹配对网络全流量进行监控,天问XDR对网端威胁进行关联分析、威胁行为分析,将威胁告警事件化,以万级为单位减少繁重冗余告警,使用SOAR自动化剧本编排方式快速处置网端安全问题,有效保障网端安全。
应对复杂网络攻击
天问XDR能够跨多个安全域(如端点、网络)收集和分析数据,有效识别和应对复杂的攻击模式,如多阶段攻击和横向移动。
高级APT威胁防护
APT是针对性强的长期攻击,天问XDR通过其高级分析和自动化能力,能够检测和响应这些复杂的威胁。
勒索软件攻击防护
天问XDR平台能够快速识别异常行为和加密活动,帮助企业在勒索软件攻击发生初期就进行干预,并及时进行响应处置。
恶意软件和病毒查杀
天问XDR平台能够检测和阻止各种类型的恶意软件和病毒,弥补网络侧恶意代码防范能力弱的问题,可以有效提高病毒防护能力。
实时威胁检测
天问XDR依托于SDO统一数据编排技术和UTBA威胁行为分析技术,结合ATT&CK和华清专家模型,能够对网络内所有数据进行采集、格式标准化、归并、关联分析。
自动化处置
天问XDR依托于SOAR自动化编排响应技术,对分析出来的重大安全事件形成安全策略,自动下发至网络内的各个安全组件上,形成SOPA全流程自动化处置能力。
Mod NDR 网络威胁检测模块
NDR全流量网络威胁检测与响应探针软件,支持对2-7层网络流量数据进行遥测和分析处理,并将结果上报MDR威胁管理中心。
Mod NDR-1100
Mod NDR-3100
Mod NDR-5100
Mod EDR 终端威胁检测模块
EDR终端安全软件,支持基于文件、进程、网络、注册表、用户活动等对主机威胁行为进行检测和分析,并将结果上报MDR威胁管理中心。
Mod EDR-win
Mod EDR-linux
Mod EDR-cmc
Mod MDR 威胁管理中心模块
MDR威胁管理中心软件,通过聚合来自终端、流量等的遥测数据,并结合内置威胁情报实现对威胁的全面检测和分析。
Mod MDR-200
Mod MDR-500
Mod MDR-1000
天问XDR由天问NDR网络威胁检测模块、天问EDR终端威胁检测模块和天问MDR威胁管理中心模块组成。 天问NDR网络威胁检测模块支持串接、旁路两种部署模式,实现网络防护能力和网络数据采集能力,并将采集的数据上传至天问MDR威胁管理中心模块。天问EDR终端威胁检测模块在各终端部署Agent,实现终端防护能力和终端数据采集能力,并将采集的数据上传至天问MDR威胁管理中心模块。天问MDR威胁管理中心模块支持云、本地两种部署模式。采集网络、终端、云的数据,结合威胁情报进行关联分析,并进行安全策略自动化下发。
旁路部署,不改变网络现状
结合先进的威胁情报和AI技术,平台能够更准确地识别和分析安全威胁,提高预警和响应速度。
开放的异构生态
平台能够对收集的安全数据进行有效编排,自动关联分析,帮助用户快速定位和应对安全事件。
全面安全检测能力
利用T-Story威胁叙事和ATT&CK模型,平台能够还原攻击者的行动路径,帮助用户了解攻击全貌,制定有效的防御策略。
安全事件回溯能力
平台拥有强大的安全事件流程剧本库,能够自动化执行安全运营流程,提高安全运营效率。
浓缩的威胁事件
平台能够通过SDO深度整合各种来源的安全数据,提供全面的安全态势感知。
安全时间快速响应能力
平台提供全天候的专家安全托管服务,确保用户的安全需求得到持续、专业的保障。
攻防场景/重点保障时期
从单点威胁检测能力提升到融合性全攻击链路检测,攻击检测有效性较单点硬件提升数百倍,可以迅速对已知/未知威胁进行能快速检测定位,并进行响应处置。
海量告警治理
部分客户安全产品众多、分散导致告警过载,无法集中检测、分析和高效的处理,导致安全产品和软件工具各自为战,事件处理和运维操作无法协同,通过部署天问XDR,实现对各业务系统和安全产品的日志信息、安全告警的集中存储与分析统计、将网络流量检测告警和主机安全告警结合威胁情报进行安全事件归并、分析和叙事还原,从而达到大批量告警日志噪音消除。
安全成本高
天问XDR采用SOAR安全编排自动化与响应技术,可对威胁告警进行剧本化编排响应处置,大量减少安全人员和时间投入,减低企业安全投入,实现低成本、高收益。