Web
山石网科相关场景

· 安全数字运营 · 安全连接 · 安全数据 · 安全计算

Image is not available

XDR安全运营解决方案

在数字化转型的时代背景下,信息化资产越来越多,网络安全事件频发,大量的挖矿、勒索等APT攻击越发严重,网络信息安全面临巨大挑战,同时国家层面对网络信息安全也愈发重视,相关政策、法规也逐步出台。

为应对日益严峻的网络安全形势,提高各行业用户的安全运营能力及效率,山石网科智源XDR平台全新升级,从实战角度出发,提升不同场景下各类威胁事件的关联、分析、预警、溯源、处置能力,为用户构建可持续安全运营体系。

挑战与需求

  • 当前几乎所有的组织都已经部署各类的安全设备,但是组织依旧存在以下的问题:

    • 资产庞大,缺少有效的资产统一安全管理。

    传统安全防护重点在网络出口处,对于内网安全往往重视度不够。随着挖矿、勒索等新型攻击的不断产生,内网资产成为了新的攻击目标,严重威胁各组织业务安全。由于内网资产往往数量庞大,组织对资产的现状、威胁等缺乏监测手段,使得大量内网资产成为攻击的潜在目标。由于缺乏有效的资产统一安全管理,组织往往只能在发生威胁事件后才能手工排查找出被攻陷主机,对于组织业务甚至经济都将造成一定程度损失。

    • 海量告警信息,难以发现真正的威胁。

    传统安全运维人员依赖各类设备的单体告警信息作为处置依据,注重设备本身对于流量的分析判断,缺乏对流量全流程视角的分析处理,容易造成大量误判及漏判,难以发现如APT攻击类的高级攻击手段。且随着安全设备的持续堆加,各类告警信息数量激增,单纯依靠运维人员手工处理的方法难以为继。

    • 安全设备相对独立,对威胁事件的追踪依靠人工跟踪处理,效率不高。

    安全体系建设往往不会一蹴而就,大量组织都是随着资金、能力等方面的提升不断增加安全防护建设投入,导致组织内安全建设不够体系化,设备之间相互独立,难以形成联动配合。对于威胁事件的预防、处置,往往依赖于组织内有经验的运维人员人工处置,对人员要求较高,且存在误判、错判、应急响应效率低下等情况。当威胁发生后,也缺乏证据收集和溯源能力,难以为综合研判提供有效信息。

    • 安全策略分散,效果不佳,安全管理压力大。

    由于各类安全设备相对独立,策略配置也相互独立,安全运维人员的策略配置和维护工作量巨大,在网络有改动需要调整策略配置或有威胁事件发生需要排查策略正确性时,需要安全运维人员花费大量时间进行分析,效率低下且存在配置错误风险。

解决方案

山石网科的XDR解决方案是以山石XDR平台为核心,深度融合各类威胁检测与响应的产品,形成集团作战模式,提升整体的威胁检测和响应能力,让安全运营实现真正的“高效协同”。

方案中包括的主要组件:

  1. 山石XDR平台:作为整个XDR架构的核心,通常部署于安全管理区域,提供如全局态势监控、威胁分析研判、关联调查溯源、事件联动响应、统一策略管理、统一资产管理、安全组件管理、开放接口管理等能力,并赋能日常运营、护网/重保、专项整治等场景。

  2. 山石XDR平台—SOAR模块:作为整个解决方案的自动化调度核心,基于自定义和预定义的执行剧本,自动化或人工二次确认执行相应的相应动作,包括情报验证、网络侧安全动作、主机侧安全动作、平台侧安全动作(事件状态、工单、通知、告警等)。提高安全运营的整体效率。

  3. 山石智感NDR:作为网间流量收集和分析的安全组件,通常旁路部署于核心交换侧,提供全流量威胁检测能力,构建流量基线分析异常流量,与XDR平台深度交互。

  4. 山石智铠EDR/UES:作为覆盖端点侧的安全组件,通常将客户端直接部署在用户终端上,为XDR平台提供下沉终端侧的安全能力,包括基线检查、病毒查杀、文件实时防护、端点行为事件分析、网络微隔离等功能,同时提供更详尽的资产信息,形成同一资产管理。

  5. 山石云铠CWPP:作为覆盖云主机、容器环境的安全组件,通常将客户端直接部署在云主机、虚拟服务器上,为XDR平台提供针对云环境、虚拟化环境的安全能力,包括主机的入侵防护、主机/镜像/docker的基线检查、病毒查杀、微隔离管控等功能,同时能提供更详尽的资产信息,形成统一资产管理。

  6. NGFW/IDPS:作为边界防护设备,通常部署在边界区域,为XDR平台提供基于规则库的威胁事件检测,丰富事件调查的上下文信息,同时作为网络层的相应能力补充,提供网络访问阻断能力。

  7. WAF:作为NDR能力的补充,侧重于WEB攻击威胁检测,为XDR平台提供更详细的Web攻击事件信息,并提供基于Web应用维度的访问阻断能力。

  8. 云瞻情报:作为统一的威胁情报库,支持所有安全组件威胁检测能力与关联分析能力。实时提供热点咨询,强化情报碰撞研判效果,为检测和调查提供更多依据。

方案优势

  1. 信息高保真度,上下文更丰富:XDR相关产品的检测能力通过平台内部集成,可收集原始的威胁日志、端点日志等信息,通过关联展示让上下文信息更加丰富。

  2. 框架统一,业务融合:XDR解决方案不仅在数据层面实现统一,在交互层和业务层面也实现了统一,如统一的策略配置、统一的账号体系、统一的大屏展示和统一的资产管理等。在统一的交互框架内,可以快速完成跨数据源的威胁分析和事件调查。

  3. 深度联动,高效响应:XDR解决方案由于采用了统一的策略管理和统一的调度接口,因此可以实现安全策略的聚合下发,降低安全组件的配置性能消耗。此外,以SOAR为核心的安全调度能力,能够实现安全策略的自动/半自动化匹配执行,能够有效提高安全响应效率。

  4. 生态开放,安全能力动态扩展:XDR方案针对第三方异构安全设备具有更优的数据采集分析和联动响应能力,构建更加开放的安全生态。针对不同场景和不同需求,可以动态选择安全组件,为组织实现降本增效。

应用场景

XDR解决方案适用于教育、卫生、能源、金融、政府、运营商等多个行业,满足大中小型组织的安全需求。如某跨区域多分支场景的应用示例如下:

  1. 通过智源平台之间的级联模式部署,实现多分支统一管理的需求;

  2. BDS镜像核心路由流量,实现对内网横向移动相关威胁的检测,并将相关资产信息、威胁日志、Metadata和NetFlow信息上送给智源平台;

  3. 终端上部署EDR设备,实现对终端的基线检查,病毒防护等,并将相关的资产信息、威胁日志上送给智源平台;

  4. 智源平台实现对防火墙、BDS和EDR相关信息的收集和统一呈现,实现事件的关联分析,同时基于SOAR实现与防火墙和EDR的自动化联动响应。

相关产品

智能安全运营系统(山石智源)
山石智源智能安全运营系统是山石网科XDR架构的核心。它能够面向“云、网、端”全场景、多维度的进行威胁事件采集和关联分析,并结合自动化响应能力,提供高效率的安全运营解决方案。
了解更多

 智能内网威胁感知系统BDS
(山石智·感)

山石智感(BDS),聚焦流量实时监测,采用智能安全检测技术,发现已知及未知网络威胁,致力于核心业务安全,精准定位风险服务器和风险主机。构建可视化、可管理、可信任的完全网络。
了解更多
终端安全管理系统(山石智铠)
山石网科智铠统一终端安全管理系统,聚焦于全面守护主机安全,提供终端管理、基线检查、病毒防护、微隔离等功能,为用户带来等保合规、终端安全运营一体化防护等解决方案。
了解更多
主机与容器安全防护平台(山石云铠)
云铠主机安全防护平台,是针对多云场景,覆盖物理机、虚拟机和容器环境的一站式安全防护解决方案。山石云铠基于CWPP框架体系,深入解决泛主机安全问题,为企业的业务环境构建真正的安全防护体系!
了解更多
智能下一代防火墙
山石网科A系列智能下一代防火墙采用全新硬件构架设计,向用户提供高性能安全防护体验。可联动云端威胁情报以及沙箱,提供贯穿“攻击前、攻击中、攻击后”的全生命周期的安全防护解决方案。
了解更多
威胁情报中心(山石云瞻)
山石云瞻威胁情报中心通过云端威胁情报的收集、处理和分析,可为客户提供及时准确的威胁情报数据,协助客户深入全面地掌握威胁信息,实现威胁追踪和攻击溯源,提升客户网络威胁防御水平。
了解更多

产品试用

姓名

单位

所属地区

手机号码

Email 地址

留言

山石网科隐私条款

如您需要帮助,可立即与我们联系:400-693-0555转 1 / 400-828-6655 转 1

微信扫码   在线咨询