业务痛点
随着企业网络环境变得越来越复杂,终端设备(如个人电脑、移动设备和服务器)在企业日常运营中扮演着越来越重要的角色。这些终端设备存储和处理大量敏感数据,成为攻击者的主要目标。在这种背景下,终端检测与响应(EDR)技术的发展和应用成为了当前网络安全领域的重点。
产品介绍
羚界终端检测与响应系统(以下简称“羚界”)是基于全面的PPDR(预防、预测、检测、响应)模型构建的安全解决方案。该系统旨在为企业提供一个全方位的终端安全防护解决方案,通过这四个关键环节的紧密结合,有效地应对复杂的网络安全挑战。
羚界终端检测与响应系统(EDR)
产品能力
羚界通过资产采集引擎,结合轻量级Agent,采集和监控终端环境中的系统信息、web服务、数据库服务以及中间件服务等关键信息。从安全的视角构建一个全面、细粒度且实时更新的资产中心。
采集HTTP日志、文件操作日志、DNS日志、进程日志和用户登录日志。这些日志不仅提供了网络通讯的细节,还揭示了用户行为和系统活动的全貌,为安全监测和威胁识别提供了丰富的数据基础。
提供轻量化的病毒检测引擎,高效地识别各种病毒,提供了一个可定制的病毒库,允许用户根据自己的需求自定义病毒检测规则。
通过分析agent上报的日志,并结合特定的规则和特征进行匹配,利用先进的算法和大量的安全数据,对收集到的日志信息进行深入分析,识别出潜在的安全威胁和异常行为,从而有效地生成相关安全事件。
通过对事件进行二次分析和聚合来生成告警,进一步加强了网络安全防护的效率和准确性,可以从众多数据中准确地识别出真正的安全威胁,有效地提高了安全团队对潜在风险的响应速度和处理能力。
一旦终端被恶意软件或者黑客控制时,即切断该终端与内部网络的所有连接,仅保留与服务端的通信,防止了潜在的横向移动,而且为安全团队提供了宝贵的时间来评估情况、识别攻击源头并执行必要的清理和恢复操作。
