iOA 零信任安全管理系统的 EDR(Endpoint Detection and Response)是一种基于端点的安全解决方案,旨在实时监控和检测恶意活动,保护企业网络减少受攻击的风险和数据泄露的可能性。同时,EDR 作为安全运营的利器,能够提供从证据实体到告警,再到威胁事件链条式的威胁追踪响应,帮助企业的终端安全运营工作由被动转为主动,有效防御 APT 攻击。
使用场景
应对/预防变化多端的商业化 APT 攻击场景
随着全球数字化进程的加速,企业和组织的信息安全面临着越来越严重的威胁。其中,高级持续性威胁(Advanced Persistent Threat,简称 APT)已成为当今最具破坏力的网络攻击手段之一。商业化 APT 攻击更是结合了高度定制化的恶意软件、0day漏洞利用、精确的社会工程学等手段,对企业及关键信息基础设施造成重大损失。
多设备协同办公,终端安全建设升级场景
多设备协同办公,终端安全建设升级场景
企业拥有大量员工,而员工在多个地点使用不同的设备(例如笔记本电脑、平板电脑和智能手机)进行协同办公的趋势也日益明显。企业需要确保这些设备的安全性,防止数据泄露和网络攻击,同时满足各种合规要求。
EDR 架构
功能架构
ATT&CK 模型下腾讯安全运营规则实践教程与灵活的自定义能力。
运营规则多方面覆盖 ATT&CK 攻击链路,可见率达到96%。
通过丰富多样的运营规则,针对钓鱼攻击、无文件攻击,东西向横移,远程漏洞利用等场景可以实现准确识别;除了丰富的内置规则外,另支持用户灵活自定义规则,适应于更多的用户使用场景以及个性化需求。
证据视角下的跨终端安全事件调查与全网响应。
事件调查:从证据视角切入、根据事件的风险性体进行研判、最终对该事件进行处置,形成整体安全运营流程。
告警溯源:多点行为关联,弱链、断链补齐,还原完整攻击事件。
威胁响应:支持告警自动响应与人工全网处置结合。
性能占用小与跨平台能力:终端性能占用小(平均值达1%)能够兼容老旧客户端,同时支持多平台包含 MacOS 以及信创。
能力逻辑架构
终端采集
采集 EDR 所需的各类终端数据,对采集数据富化和过滤,数据同时本地存储和上报到后台处理。
扫描服务
支持实时的威胁检测规则,支持多行为的关联模型规则,支持对告警做溯源分析挖掘。
数据存储
数据按终端分区入库,提供快速查询,ES 集群实现大数据的存储。
页面功能
支持标准的 API 接口,运营规则开放自定义。
