北信源主機(jī)安全檢測響應(yīng)系統(tǒng)V3.0(簡稱EDR),以端點(diǎn)檢測與響應(yīng)技術(shù)為基礎(chǔ),依照識別-檢測-分析-防御-響應(yīng)縱深防御思路,首先將對整個(gè)網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)現(xiàn)狀及脆弱性的摸底,讓資產(chǎn)環(huán)境已知的安全隱患浮出水面。其次,對未知風(fēng)險(xiǎn)進(jìn)行實(shí)時(shí)的行為監(jiān)控,再利用大數(shù)據(jù)模型進(jìn)行行為分析,對已知和未知威脅做出智能響應(yīng),并最終建設(shè)智能化的安全體系。
依照識別-防御-檢測-響應(yīng)縱深防御思路,
1)對終端資產(chǎn)、脆弱性進(jìn)行摸底,讓已知的安全隱患浮出水面;
2)對網(wǎng)絡(luò)攻擊進(jìn)行主動(dòng)防御,形成終端安全底線;
3)對異常行為進(jìn)行實(shí)時(shí)監(jiān)控和智能分析;
4)基于智能編排技術(shù),對已知和未知威脅做出閉環(huán)響應(yīng)。
其中,基于ATT&CK行為分析建模。可進(jìn)行文件活動(dòng)軌跡、進(jìn)程動(dòng)態(tài)、網(wǎng)絡(luò)訪問、注冊表變更、DNS訪問等多維度關(guān)聯(lián)分析,并能將網(wǎng)絡(luò)訪問情況、進(jìn)程父子調(diào)用、注冊表篡改情況以樹形結(jié)構(gòu)立體呈現(xiàn),為用戶展現(xiàn)完整攻擊鏈。可追溯惡意進(jìn)程的運(yùn)行時(shí)間、詳細(xì)路徑、以及文件進(jìn)程信息詳情。
