态势感知系统

立思辰态势感知系统

一、产品简介

立思辰公司的态势感知系统(xSAP)是一款融合了大数据技术和机器学习技术开发的全新网络安全态势感知与监测预警产品。

态势感知系统系统采用组件化开发技术,专注于安全管理和安全分析;集安全可视化、监测、预警和响应处置于一体;通过多种数据分析方法构建动态的、多层次的、全天候的网络安全态势知,结合等级保护管理,为政企客户构建网络安全动态深度防御体系。

二、产品功能

  • 资产测绘

态势感知系统除支持通过手工维护、批量导入、外部接口同步等方式进行资产记录与维护外,还支持资产自动感知和测绘。

  • 资产管理

从多种维度和标准对资产进行分组、分域管理;还可构建资产拓扑视图,为管理人员提供良好的可视化界面。

  • 脆弱性管理

通过漏扫系统的二次开发接口自动化调度主流漏洞扫描系统,下发漏洞扫描任务,并自动化采集扫描结果,获得资产脆弱性。

当无法自动化调度时,支持通过结果文件导入主流漏洞扫描系统的扫描结果。

借助于主流漏洞扫描系统,态势感知系统针对已确定/未确定“资产”触发一次或多次扫描行为,查验其是否存在紧急或高风险的漏洞。

  • 安全事件分析与管理

支持对多种IT资产安全事件进行集中管理。

支持多种协议的海量异构日志采集、存储与分析,并对采集的日志进行实时范化、分类、过滤和归并。

提供基于机器学习的多种异常检测技术,检测发生于网络中的各类安全异常状况,解决静态规则库的安全事件分析仅能发现已知攻击和威胁的问题。

  • 用户与实体行为分析

通过分析用户活动来检测恶意内部人员,帮助安全管理人员识别来自组织内部的威胁。

  • 威胁情报采集和利用

通过安全社区及第三方威胁情报合作商获取威胁情报,自动创建分析规则,对本地网络采集的数据进行实时对比分析,及时发现可疑、恶意IP的连接行为。

利用威胁情报对历史数据进行比对,发现曾经发生过但未被检出攻击行为或本地网络中的僵尸主机,及时预防阻断,降低安全风险。

  • 安全配置核查

集中调度驱动安全配置核查系统对网络IT资产进行安全配置检查。

通过多种网络协议模拟检查用户登录被检查资产,自动采集IT资产的安全配置信息,并进行合规性管理。

  • 安全风险评估

自动、定量计算资产及企业业务系统风险值,协助管理人员进行定量的风险评估。

展示安全域的风险情况,标注安全域中资产风险的分布情况,帮助管理员快速感知网络安全风险,进行风险分析并采取相应的风险处置对策。

  • 安全态势展示

对采集的各类安全数据、态势要素进行综合分析评判。

多维度和指标呈现政企客户全网安全态势,并进行可视化展示,帮助管理层辅助决策和执行层运维指导。

  • 告警响应管理

平台支持对感知的安全问题进行实时预警和报警。

平台支持对告警信息进行统计分析,并提供多样化的告警通知方式,如实时屏幕显示、电子邮件、短信、微信等。

  • 安全仪表板

安全管理门户是用户进行日常安全分析和管理的统一入口和界面,为管理人员提供功能菜单和丰富的仪表板。

针对不同角色用户,仪表板可调整内容和布局提供其关注的信息。平台可将安全仪表板生成安全报告并进行共享。

  • 报表和报告

安全统计报表通过对平台获取的数据进行汇总、计算、对比,综合分析和评价组织的信息安全管理成果。

安全管理人员可根据安全统计结果、安全事件分析结果、知识库和案例等生成安全分析报告,报告中具有丰富的数据元素和表现形式,供安全管理人员参考。

平台既有丰富的内置报表,也支持自定义报表。

  • 安全知识库管理

提供丰富的知识库供分析功能使用,同时积累经验为安全管理人员日常运维工作提供指导。

平台安全知识库支持定期更新升级,保持知识库最新状态,使系统能够及时感知最新漏洞,通过安全关联规则检测最新安全威胁。

三、产品优势

  • 灵活的大数据技术架构

采用先进的大数据技术架构,满足海量异构数据的采集、存储和分析需求。

支持轻量级、重量级的大数据平台架构,可根据项目规模选择不同的大数据技术架构。

  • 智能的资产发现技术

提供多种资产发现技术,结合丰富指纹库,精准识别资产,帮助安全管理人员全面了解网络资产态势。

针对非操作系统类和网络设备类资产,支持多种协议采集服务数据。

通过Web页面爬取等多种方式获得系统响应信息;通过机器学习方式综合构建资产指纹。

  • 自有漏洞情报库

系统拥有完善的漏洞情报库,由我司多方采集的漏洞信息,经过综合分析后形成立思辰漏洞标准描述格式。

通过立思辰统一漏洞描述情报库,在漏洞未被利用前,系统可快速准确地识别具有该漏洞的资产,降低风险持续时间。

  • 日志集模式识别和可视化范化技术

日志范化将异构日志变成系统统一、可识别的日志,屏蔽了不同厂商、不同类型的产品间的日志差异,大大提升审计工作效率。

可视化范化技术大幅降低范化工作的复杂度,提升了日志范化的效率,使平台更易用、高效。

  • 多层次智能安全分析技术

针对已知威胁

内置多种安全分析场景规则,也可通过可视化方法编辑关联规则,强大的关联分析引擎实时分析采集到的安全日志和流量元数据;系统结合各类情境数据,及时发现已知的攻击、威胁。

针对未知威胁

对于未知威胁,系统提供基于机器学习的异常行为检测方法。

针对攻击链行为

对于攻击链行为,系统提供深度分析技术。探索整个攻击链过程中不同阶段的攻击,构建攻击行为链和影响性分析。

针对海量日志

针对海量日志,系提供了基于聚类算法的日志模式识别,将日志快速归类,大大节省工作量,提高分析效率。

  • 开放、可扩展的套件化应用开发平台

套件化平台集成了安全事件采集、网络流量采集、标准化、存储、告警、查询、分析和报表等全流程,内置大数据存储和智能分析引擎,提供功能界面定制和模块开发接口,用户可快速部署、配置和开发一系列的安全管理相关应用。

专项安全分析小程序使平台能够快速方便地满足用户的特定需求,解决特定的安全问题。

  • 专业的安全运营服务团队

公司建设了专业的安全运营服务团队,提升系统的使用效果,以系统为中心为客户输出安全态势感知、预警响应和安全防护能力,帮助企业保护自身网络安全,减少企业因遭受攻击产生的损失。

四、典型部署

态势感知系统-典型部署