菜单
分类: 标签:

兰天智能安全平台

最近180天交易数:0

线下议价

用户点赞:

兰云公司推出了兰天智能安全平台,该平台基于大数据技术基础,解决了安全分析中数据持续增长、类型复杂、来源多样等数据特性,同时使用用户及实体行为分析技术,能实现高级持续性恶意攻击以及内部违规行为等企业威胁有效检测。平台融合各种网络安全要素的基础上从宏观的角度实时评估网络的安全态势,并在发现威胁之后实现安全联动,及时阻断,为企业信息化管理部门的决策分析提供依据,保护客户核心资产。可以广泛应用于政府、金融、科研院校、能源、电信等行业的企事业内部网络安全威胁检测。

产品概述

1、系统架构

9/5b59a0b659e54.png

2、功能模块

d/5b59a20d53b72.png

1、安全信息和事件管理(SIEM):模块负责从大量企业安全控件、主机操作系统、企业应用和企业使用的其他软件中收集安全日志数据,并进行分析和报告。

2、端点检测/响应工具(EDR):模块通过监测和调查主机行为深挖安全警报,专注于检测、调查和减轻在主机或端点的可疑活动。

3、事故响应平台(IRP):模块是在平台收集,处理和分析数据的安全性之后,尽快给警报排定优先级以及处理这些警报。

4、网络安全分析(NSA):模块是对网络中的流量和数据包分析,让平台能收集最原始的证据,防止其他安全设备的上报信息丢失导致威胁漏报。

5、用户行为检测工具(UBA):模块是对平台收集的流量、日志等多种异构数据,通过机器学习建立用户行为模型,通过行为模型匹配检测内外部威胁。

6、漏洞扫描器和安全资产管理:用户了解哪些警报需要优先级处理,是安全运行的重要组成部分。平台借助漏洞管理系统(如Qualys,Rapid7,Tanium)中的可靠数据和其他工具(这些工具监控系统状态和网络配置)来驱动,在这些数据和工具的帮助下,平台可以辅助客户更好的做出决策。

7、反恶意软件沙箱:有些针对性攻击可能会采用0day恶意软件来发动。通过本地或云端沙箱技术后,平台可以很容易的对这类攻击进行更充分的检测。

8、威胁情报:通常情况下,为了企业自身安全,企业组织想要将内部网络异常与外部的恶意软件活动作对比,以收集情报,化解危险。平台通过对攻击方的情报、动机、企图、方法进行收集、分析,帮助用户各个层面的安全和业务成员更有效的保护企业关键资产。

系统功能

1、全方位的数据采集

支持对网络流量报文进行镜像采集和存储;支持网络流量元数据采集,支持从网络流量中还原传输的文件进行提取和存储。支持路由器、交换机、防火墙等系统日志采集;支持对操作系统的基本信息、登录日志、运行日志、告警日志等采集,支持对中间软件日志信息采集。

2、高速、多样的分析手段

在系统级沙箱的基础上结合创新的应用级沙箱,系统级沙箱行为检测点全,检测精度准,应用级沙箱软件版本全,检测效率高。同时可对本地全量历史数据、互联网威胁情报数据、互联网基础数据,按照多个维度进行关联分析。安全分析人员可以通过攻击者留下的任意线索进行多维拓展,绘制出完整的攻击链条并形成分析报告。

3、先进的分布式实时分析引擎

基于国际领先的分布式架构,实现单节点10万EPS级的数据分析,以及PB级数据的秒级检索,满足客户对实时性有要求的威胁分析需求。

4、独创的用户行为分析技术

平台支持通过机器学习的方式建立正向,反向行为模型,并将模型应用于实时检测中。基于业务和资产的正向模型训练,提升检测效率,基于攻击行为的反向模型训练提升检测精度。

5、态势感知展示

安全态势度量:通过网络攻击行为、恶意代码传播、漏洞分布状态、重要系统风险等多种指标综合评定全网安全态势。

态势展示:支持可定制、直观的安全态势展示方式,支持基于地图的实时威胁呈现,支持对展示数据的可视化溯源分析。

交互式可视化分析:本平台通过对安全数据建立完整索引,实现了对数据的交互式查询分析,支持依据事件属性对大数据进行过滤、归并、钻取等分析操作。

6、集成威胁情报系统

支持多渠道、多层次的威胁情报匹配,一方面发现内部的入侵行为并从中提取威胁情报;另一方面,系统具备开放的外部威胁情报接口,可以从第三方渠道及时获取外部威胁情报。

7、资产管理

系统可自动识别本地资产,安全管理员可对资产赋予不同的安全属性,如安全权重、安全域、资产管理员信息等,并通过可视化技术将资产用不同的拓扑类型进行展示。在进行威胁分析的时候安全分析人员可以通过资产分组来进行安全数据统计和分析,大大提高了安全分析人员的工作效率。

系统拓扑

8/5b59a3dca5165.png                                      

产品规格

方案组件

功能

流探针

负责对网络中的原始流量进行数据协议特征提取,生成flow和Metadata数据,并将这些数据上送给大数据安全平台。

文件沙箱

负责对网络中的原始流量还原提取的文件进行未知威胁检测,生成文件类威胁数据,并将这些数据上送给大数据安全平台。

异常检测系统

流量探针与文件沙箱的组合产品,负责在分支机构等场景部署使用。

终端探针

负责对关键资产主机上的操作行为进行提取,生成主机行为数据,并将这些数据上送给大数据安全平台。

兰天平台

负责接收日志和Netflow数据以及流探针上报的Metadata和flow数据,并对上报数据预处理后进行分布式存储和索引;负责根据预置的检测模型和自定义的检测规则对归一化日志、flow和Metadata数据进行实时/离线分析,检测异常行为并对异常进行关联和评估,从而发现并判定高级威胁;为用户提供威胁可视化,智能检测和配置管理等功能。

应用场景

1、独立部署检测客户网络安全隐患场景

2、与沙箱集成检测APT攻击场景

3、独立部署检测客户内部违规和异常行为场景

4、与第三方SOC/SIEM集成检测APT场景

方案特性

1、技术特性

  • 分级分层的网络安全态势呈现

  • 全方位的数据采集

  • 针对关键资产和业务的机器学习及威胁建模

  • 完善的威胁情报体系

  • 检测能力更强的本地沙箱

  • 高效智能的用户资产发现技术

  • 用户实体行为分析

2、应用特性

兰天智能安全平台可运行在任意标准的x86服务器上或虚拟机集群上,无需任何专用的硬件或存储,数据分析和存储所需资源按需使用,可根据业务需要弹性伸缩。基于国际领先的分布式架构,实现单节点10万EPS级的数据分析,以及PB级数据的秒级检索,满足客户对实时性有要求的威胁分析需求。

兰天智能安全平台作为应用级软件,承载于行业主流商业操作系统CentOS 6.8的发行版本,具备优秀的稳定性及安全性,具备良好的兼容性当前支持主流虚拟化软件:VMware vSphere 5.5/6.0及以上版本、KVM;在实际项目中,在DELL、华为等市场主流品牌及型号的X86服务器稳定运行; 通过Hadoop、HDFS等技术应用,实现数据的分布式存储,系统兼容EMC、HDS、IBM、HP、华为、浪潮等国内外市场主流磁盘整列存储历史数据。

兰天智能安全平台可以充分整合现有的所有资源,能够与现有的网络共存。支持通过网络探针对满足特定条件的网络流量报文进行镜像采集和存储;支持通过国内外市场主流网络设备(如华为、华三、思科、博科)对网络流量元数据的采集,格式包括:netflow v5、netflow v9、sFlow、NetStream等;支持对市场主流厂商(如华为、华三、思科、山石、深信服)的路由器、交换机、防火墙、WEB应用防火墙(WAF)、VPN设备、上网行为管理设备、入侵检测/防护系统等网络和安全设备的基本信息、操作日志、访问日志、安全日志、告警日志等系统日志进行采集;支持对主流服务器操作系统的基本信息、登录日志、运行日志、告警日志等采集,支持windows、Linux、AIX等操作系统日志;支持对SQL Server、Oracle、mongodb、MySQL等主流数据库系统日志进行采集;支持对中间件软件(IIS、Websphere /Weblogic、Apache、Tomcat、Ngnix)日志信息的收集,包括状态会话、应用进程、HTTP/HTTPS访问记录等信息。平台即能保存大型结构化数据集,如日志文件,网络流量和事务数据。同时也保存非结构化文本数据,如文档,电子邮件。

兰天智能安全平台作为应用级软件,通过软件的组件冗余、负载分担、双活等技术,实现系统软件层面可用度≧99.999%;兰天智能安全平台最大宕机时间≦0.5小时;兰天智能安全平台通过Hadoop、ElasticSearch、HDFS等技术构建集群式高可用架构,可有效避免单点故障,在所有软件组件进行双活冗余部署的配置下,保证7×24小时不间断运行。兰天智能安全平台通过ElasticSearch、HDFS的分布式计算技术,实现实时分析数据的2-3份备份,实现运行中单一硬件故障不影响数据分析;通过Raid5技术,实现历史数据的备份存储。兰天智能安全平台的集群管理系统支持组件存活时间检测机制,实时检测组件运行状态,及时发现组件故障,具备自动和手动恢复措施,能够快速地恢复组件正常运行。

组件间通信采用连接式加密通信,对通信时连接状态实时监控,保证数据传输的可靠性及保密性。

兰天智能安全平台实现模块化部署,支持系统的处理能力平滑扩容,可根据处理需要实现部分组件扩容。整套系统采用标准大数据架构,对外接口按业内约定标准解析格式,具备良好的扩展性

兰天智能安全平台具备数据防篡改机制,可确保自身数据安全;对系统的数据操作有日志记录,可以对操作进行回溯;系统内实现角色管理功能,能够具备不同权限的角色创建。支持可信管理端配置,限制允许访问管理端的IP范围;提供帐号防暴力破解功能,连续密码输入错误帐号被锁定机制,提供密码复杂度强制要求检查机制等多种安全机制,保证系统自身的安全性。

3、系统特性

  •  流量采集

通过网络流量探针支持对网络通信行为进行采集、解析和记录。

支持NetFlow、sFlow等Flow数据的采集

  • 文件还原

支持对邮件、Web、FTP协议传输的文件进行发现和还原;

支持对常见可执行文件的还原:EXE、VBS、DLL、OCX、SYS、COM、APK等;

支持常见的文档类型的还原:DOC、XLS、PPT、RTF等;

支持对常见压缩格式的还原:ZIP,RAR,GZ、CAB等。

  • 资产管理

支持自动发现或手动维护资产信息,对采集的资产可自动根据区域范围进行分组;

支持资产信息、软件资产、网络服务的管理,资产区域、资产组、业务组的创建和管理。

支持用户发现及关联功能,方便及时定位威胁事件责任人

  • 日志采集

支持对市场主流厂商的路由器、交换机、防火墙、WEB应用防火墙(WAF)、VPN设备、上网行为管理设备、入侵检测/防护系统等网络和安全设备的基本信息、操作日志、访问日志、安全日志、告警日志等系统日志进行采集;

支持对WINDOWS、LINUX等主流服务器操作系统的基本信息、登录日志、运行日志、告警日志等进行采集;

支持对网管平台(包括锐捷、华为esight等)的数据进行采集,采集的数据包括:基本信息、操作日志、访问日志、安全日志、告警日志等系统日志。

支持对中间件软件(IIS、Websphere /Weblogic、Apache、Tomcat、Ngnix)日志信息的收集,包括状态会话、应用进程、HTTP/HTTPS访问记录等信息。

支持对SQL Server、Oracle、mongodb、MySQL等主流数据库系统日志进行采集。

  • 常见系统及应用攻击检测发现

能够对网络恶意扫描、僵尸网络命令、应用服务安全、恶意软件及木马、网络渗透攻击、未知网络攻击等攻击入侵行为进行检测;

  • 沙箱分析

通过沙箱技术模拟企业真实办公终端、服务器的操作系统和应用运行环境,检测恶意代码的异常行为,支持恶意代码逃逸等自保护机制进行检测,及时发现APT攻击;

基于运行的样本宿主应用程序,通过应用内的行为监视及指令流控制等手段来实现在恶意代码未触发状态下的动态检测;

  • 异常检测

对各类海量日志与流数据采用机器学习、统计分析、关联分析、聚类归类、序列分析和依赖分析等分析技术进行深度挖掘,对用户的正常行为进行建模,识别偏离正常访问行为的异常操作,辅助安全管理人员发现真正潜在攻击行为。

对典型攻击行为进行自动或人工建模,检测是否有匹配攻击行为模型的异常行为;

  • 威胁情报

定期或不定期将互联网云端、行业相关威胁情报推送至平台,无缝整合至大数据分析智库,进一步加强对威胁分析和发现的能力。

  •  关联分析

支持通过关联分析规则实现多维度(网络会话、探针事件、系统日志、应用日志等)、跨资产的深度关联分析,以发现隐藏的威胁;支持对所有基础事件的关联分析;

  • 态势呈现

通过网络内网络攻击行为、恶意代码传播、漏洞分布状态、重要系统风险、资产价值等多种指标综合评定全网安全态;支持分级分层展现网络和信息系统的整体实时安全态势,突出展示信息安全攻击威胁热点;能够监测网络和信息系统的系统漏洞风险等脆弱性现状。

支持通过仪表盘、折线图、曲线图、柱状图、饼状图、等常见的报表形式灵活展示态势。

  • 威胁溯源分析

基于大数据技术的全文检索引擎,能够对规范化的系统日志、告警日志等全维度日志进行检索;支持DHCP环境下对资产的唯一性标识能力;

支持多维钻取的日志分析和查询功能;

可对关注的威胁事件进行快速定位、详细信息查询和可视化分析操作,可通过编辑器自定义数据关联展现规则。

可根据可疑操作或预警事件作为分析线索,展示出相关联的所有资产及相关操作行为,辅助安全管理人员开展威胁行为深入分析,包括安全威胁类型、发生时间、影响范围及相关的人员、系统、文件数据等要素分析;

  • 联动预警

支持邮件、弹窗等告警方式,当产生高级别预警事件时可直接发送给相应资产安全管理员处理。

针对系统发现的安全威胁与事件,经人工或自动确认后可与网络、安全防护设备联动,对恶意行为进行及时阻断处理。

支持根据威胁类型、威胁级别、发生时间等条件配置阻断策略。




增加评论