有效应对威胁
系统侧重于行为动作跟踪,利用内存监控技术突破操作系统限制,实现细粒度监控程序运行行为,从而提升威胁检出率,降低误报率,有效应对二进制漏洞利用攻击。
核心功能
-
文件鉴定档案支持当前业务系统中终端的全部可执行文件、office办公文件等不同类型文件的档案信息。支持灵活的文件档案检索方式,所有的文件档案会按照“黑、白、灰、准白”四大类型进行区分。
-
新型/未知威胁发现支持新型内存攻击、脚本攻击、恶意代码攻击等检测,实现内存、系统、应用三层防护,通过行为分析发现“未知威胁”;支持查询所有终端设备非法外联次数,并支持对外联行为进行加白操作。
-
内存攻击检测支持对多种内存攻击手段进行检测并告警。检测内存攻击类型包括:反射式动态库注入、傀儡进程攻击、堆攻击、ROP攻击、加载远程模块、栈翻转、布局Shellcode、执行Shellcode、远程漏洞溢出、引擎攻击等。
-
系统攻击检测支持多种利用系统工具的脚本类攻击行为进行检测。支持检测的脚本解释器类型包括:Powershell、WMI、VBA、VBS等。对于信创Linux终端,支持引导扇区篡改、内核篡改、动态库劫持、环境变量劫持等多种攻击行为的检测。
-
威胁线索⾃动分析取证支持线索固证、联动取证、全网取证,对内存、进程、⽹络、⽇志、⽂件等信息实现“实时固证”提取及留存。
-
VKM 联动分析溯源解决流量设备发现威胁告警后,证据链不完整问题。实现联动检测与分析,全⾯提升威胁发现、威胁溯源能⼒。实现问题“精准定位”。
产品特色
全网排查、不留死角
系统实现全网文件、IP、域名全息建档,发现恶意程序后,分析人员可排查其影响范围及程度,威胁样本行为分析系统具备灰文件自动判定能力,实现全网威胁可视化管理。
实时取证,实现闭环管理
系统在攻击威胁发生时,对攻击相关信息进行实时分析、取证留存,从而保障关键固证信息完整性,有效解决威胁分析过程中丢失关键信息的问题。
智能学习,强化未知威胁
终端32类型多维原始数据探针,结合云端智能分析能力,发现隐蔽攻击,从而强化终端社工钓鱼检测能力。
