产品详情
简介
杰思主机安全响应系统是面向政府、军工、金融、互联网、制造业、医疗、教育等大型企事业单位推出的以EDR技术为核心,以数据挖掘、威胁情报感知、可视化管理等为支撑,面向已知和未知威胁防护以及高效安全运维管控领域的新一代终端安全解决方案。
功能
1、高级威胁检测与防护
通过在终端主机中部署杰思安全探针,对每个终端主机进行实时安全防护。安全探针采用主动防御和横向对比模式,对系统内每一个活动的可执行文件的行为状态进行分析和对比,对非正常行为实时拦截,可疑文件删除隔离。摆脱传统防病毒软件静态特征库对比带来的系统开销,以及新型高级攻击对静态特征库免疫的弊端。支持Windows和Linux实时进程智能分析和拦截,通过进程行为与特征相结合,对其进行未知威胁分析,可采集统计进程文件大小、版本、厂商、安全级别、分布频次等信息。支持对映像劫持、硬件驱动、系统服务、浏览器劫持、开机自运行、登录劫持、网络劫持、打印窃取等系统风险以及证书一致性、文件完整性和不安全设置进行多维度安全检测。支持端口扫描、可疑连接、恶意Ping、泛洪攻击、TCP洪水攻击等网络攻击检测。支持基于不同管理标签和目标终端进行安全防护策略配置,可对威胁动作和文件进行阻断、隔离、清险和记录,支持策略优先级管理和黑白名单自定义。智能沙箱支持多系统环境仿真模拟和威胁行为安全分析,可应对多种沙箱逃逸技术,对沙箱检测文件信息、HASH值、检测结果、检测进度可进行查询统计,支持自动与手动传入检测。
2、省心易用安全运维
中大型单位IT网络的服务器数量众多,系统的统一管理对IT运维人员来讲是一大工作量。杰思安全管理平台具有统一安全管理和运维功能,可以进行资产管理、补丁管理、进程管理、文件管理等,操作简单功能实用,对运维人员的工作省心、省时、省力、高效。系统通过杰思安全管理平台,可对安全探针进行统一安全管理,无需终端用户在本地做任何操作,所有管理及更新操作均可通过管理平台统一完成。系统提供终端进程资源占用监控,对每一个进程对终端CPU、内存的利用率进行监控,统一汇总至管理平台,进行全网和终端排名。并提供实时告警能力,对异常资源使用情况及时告知管理员处理。可以有效发觉挖矿等消耗系统资源的恶意程序,并协助管理员对主机资源使用监控,有针对性的做硬件升级。支持自动发现未注册设备管理,可自动发现终端所连无线网络名称、网络设备及其连接的终端数,可自定义标识管理。支持针对文件进行全网检索,可显示所查找的文件所在终端名、文件描述、版本、HASH值、安全级别等信息,并支持信息的筛选统计。
3、终端环境强化控制
杰思提供了非白即黑的终端运行环境强控机制,通过定义终端主机安全运行基线,限定仅允许安全范围内已知的程序运行,限定终端最小运行权限,最大程度保障终端主机运行安全。杜绝一切不在安全范围内的程序运行,可以有效避免有意或无意的病毒传播,对未知威胁进行防护。终端环境强控机制可对军工、金融、制造业等具有高度安全防护需求的终端提供最有效、最可靠的安全解决方案。
4、安全基线监控
安全基线是一个操作系统的最小安全保证,即该操作系统最基本需要满足的安全要求,工信部等众多单位均有相关要求。构造系统安全基线己经成为主机安全的重要步骤,同时也是进行安全评估、解决主机安全性问题的先决条件。杰思主机安全基线核查同时含盖Windows和linux平台,支持帐号与口令检查、密码生存周期检查、远程登录检查、网络与服务检查、日志审计检查、防火墙检查、系统安全配置检查等内容,核查项完全满足工信部等单位要求。而为提高产品易用性,提升管理员工作效率,杰思提供多个维度的基线实时监控。可从不合规检查项维度进行汇总,并统计没一个不合规检查项涵盖的主机列表,也可从不合规主机维度进行汇总,列出每一个主机中不合规项列表。同时依据主机安全基线核查结果,进行主机安全评估,更直观的向管理员展示全网风险主机情况。安全基线核查中可对系统关键配置文件变化进行记录,可记录文件变化的时间点、变化后的文件hash、文件路径、文件覆盖到的主机、文件具体内容等,并能对变更后的文件做信任处理。能够帮助管理员快速发现系统的配置文件异常变化情况。
5、主机逻辑微隔离
杰思安全依据云主机网络结构的特点和主机边界安全防护需求,提出以主机为保护对象的出站、入站访问控制理念,达到主机网络微隔离目的。杰思安全主机微隔离模式同时适用于云主机场景、物理主机场景和混合云场景,并在使用模式上可通过划分逻辑安全域、定义访问对象等方式灵活组合。在安全域划分上,不仅能够做到单主机、单分组、多个主机、多个分组混合组成,而且可跨云平台、跨操作系统进行建立。混杂的安全域划分模式,为管理员提供更多更灵活的管理方式,适用于所有应用场景,在网络安全边界梳理工作上,不在受限于任何物理条件限制。访问对象从地址和端口两个维度定义,并能以IP地址段、主机、用户组、端口范围等多个维度组合。结合安全域的划分,可形成融合多种通信协议、IP、端口、防护动作为一体的细粒度东西向访问控制,策略可集中统一管理,不受虚拟化平台迁移影响。配合杰思安全精湛的威胁溯源能力,在匹配微隔离安全防护策略后,不仅能详细记录关联主机、时间、协议、源/目的IP、端口、出/入站方向和防护动作,还能展示出与此关联的主机进程,以及进程的详细路径的安全分析情况,并能对此进程文件做进一步的处理操作。对整个网络安全事件做到快捷闭环操作,有始有终。
6、日志报表及通知告警
支持安全日志信息的分类查询统计和关联分析呈现,可视化安全状态监控。支持自定义条件查询相关日志,并以CSV、JSON、HTML等多种格式导出备份。支持高危及关键事件分类实时和周期性告警通知。支持自定义告警通知类型和周期,可选择邮件告警或短信告警,可选择多个收件人。
7、威胁事件溯源
威胁入侵后,可通过溯源功能找到威胁关联主机,及关联的风险文件、文件详细路径、关联的进程、风险服务等,并对沦陷主机的网络访问关系进行梳理,迅速找到威胁根源与扩散范围,从而实行精准打击。信息安全的底线是在发生安全事件后能够准确溯源,从源头做出防御,避免同一事件重复发生。而以往对于安全事件的分析,要依靠网络边界安全设备的告警信息甚至从业务系统运行异常来察觉,且只能定位到IP地址或具体主机,最后进行断网或重做系统处理,并不能从根源解决问题。基于行为的杰思能够深入应用场景,抓住信息安全面临的挑战,在主机系统内部深度追踪,梳理事件发生轨迹,呈现事件访问关系,找出事件根源与扩散范围,让威胁无处可藏。
8、高可用性支持
杰思提供多机冷备和多机热备双重备份保护能力,避免因单点故障导致的用户数据丢失、系统使用受影响的问题。单管理平台模式下,可以采用数据定期备份导出,在管理平台出现故障或需要变更时,将备份数据导入新管理平台,完成冷备切换,不丢失任何数据。多管理平台模式下,可以采用多机热备机制,利用杰思安全独家开发的数据同步复写技术,保证多个管理平台数据和工作状态信息完全同步,任何一个管理平台出现故障都不会出现系统宕机、数据丢失、工作状态重置的情况发生。
9、系统管理
安全探针到安全管理平台控制指令、配置、日志等信息全部采用Https加密传输。支持对每次操作的任务及结果进行查询和管理,支持多后台任务并行处理。标签化管理,支持对终端灵活自定义标签分组,一个终端对象可隶属多个标签组,并可根据标签进行查询统计和策略配置。标签化管理可以基于IP段、已有的标签组进行自由分组。支持隔离文件管理和还原,支持安全探针多版本回滚和配置备份还原。
优势
1、基于异常行为的横向智能模型检测
目前黑客攻击的初期目标一般是针对少量的服务器,传统的特征检测很难发现它。杰思安全通过EDR核心技术进行操作系统级行为检测,全网虚拟机服务器或主机横向比较,通过“定点入口监控(减少不必要的全局监控对性能的影响)和行为合规监控(是否调用了超出期望的系统函数,传递的参数是否威胁系统安全)”,有效应对多种恶意程序的变形逃逸。
2、全周期多维度事件关联分析
实时性和准确性往往很难平衡,效率和精度是传统安全方案无法逾越的问题。针对攻击行为的不同阶段,以全面的多维度分析检测技术予以发现。对攻击事件的全局数据信息进行多维关联展示,呈现攻击事件的全貌。
通过以主机为视角构建安全时间轴,展示该主机历史时间点发生的每一个安全事件,如可疑文件的出现、漏洞的发现、攻击事件的发生、违规操作等。并对该主机的安全风险分布情况、威胁事件趋势情况做多维度展示。
以安全事件为视角构建安全事件链条,展示该安全事件的整个生命周期,如事件每一个动作发生的时间、事件类型、关联的主机、发生的次数、事件的处理结果、事件的分布和发展趋势等进行全面剖析。
3、看的见的终端看的见的安全
“知己知彼百战不殆”,杰思通过对终端全方位的监控,为安全管理员提供一个知己的手段。杰思安全探针基于操作系统运行,无论终端是物理形态、虚拟形态、在单位内部或是在公有云,让每一个终端看的见,处于安全可控范围内。
千里之堤溃于蚁穴,安全的管理要全网无盲点。系统通过网络探测和发现协议快速查找定位未部署杰思安全探针的终端,帮助管理员梳理终端资产,对未在可控范围内的终端及时做处理,降低网络安全风险。
对管理范围内的终端,提供IT资产信息统一监控能力,可以集中统计主机名、IP、MAC、操作系统、系统及应用漏洞、CPU、内存、硬盘、网卡、外设接口等软硬件信息,快速发现网络中不合规或潜在风险主机,便于管理员及时对问题终端的硬件配置、操作系统进行升级调整。
在管理范围内的终端,帮助安全管理员感知终端的安全变化。对未知安全状态的可执行文件行为进行监控,发现威胁文件;对终端进程系统资源的消耗实时监控,发现异常进程;通过多机对比方式,发现每一个终端内在环境的变化,及时发现潜在风险;以终端为维度,感知历史每一个时间点发生的安全事件和终端的变化。
4、轻量级智能化安全探针
传统主机防护软件产品,易让终端不堪重负,特别是在对资源占用敏感的虚拟化环境,即使采用NFV或基于虚拟化层无代理的解决方案,整体占用资源依然很高。轻量无感知探针:安全探针在主机端无图形化界面,不扫描用户磁盘静态文件,不收集用户个人信息,对终端使用零打扰;仅检测系统和文件异常行为;可采用工具批量静默安装(需Windows域环境或远程管理员权限),终端用户无感知。黑白名单结合,批量策略下发,动态分时扫描,极小资源消耗。旁路部署:杰思安全管理平台旁路部署,无需串接在网络出口,部署安全探针的设备与安全管理平台路由可达即可,网络调整不影响安全防护效果。智能安装:对终端安装包整合,提供傻瓜式便捷安装。所有Windows平台系统使用一个安装包,所有linux平台系统使用一个安装包,无需区分系统版本,避免安装兼容问题。
5、快捷方便的安全运维
安全运维的管理基础在于对信息的全面了解和对变化的感知,杰思立足于安全,着眼于管理。通过安全探针的实时动态信息采集,对多种信息源变化进行监测和发现,协助管理员加强对整个网络的掌控。
安全探针会实时检测终端的网络连接情况,当发现无线路由时会反馈给管理员并检测到相应无线热点上的终端连接情况,促使网络接入的安全合规。
违规使用移动存储设备,会对终端带来很多安全风险。安全探针可以监控终端的移动存储设备使用情况,基于安全策略限制和记录移动存储设备的使用,协助管理员规范用户使用移动存储设备,减少外来风险。
通过安全探针对终端及服务器运行的业务应用进程实时监控和智能横向分析比对,可快速找到和预期业务系统部署版本不一致的端点,并监控版本的升级部署进度,然后针对异常节点进行有针对性的处理。通过全网统一文件检索,可以查到目标文件在全网的分布统计,便于对业务系统的部署是否正常、异常文件残留等情况进行跟踪统计。杰思安全也可提供可信文件接口,客户可将正常业务系统文件指纹信息和杰思安全防护系统对接,更智能快捷发现不合规项,高效对日常的应用系统更新运维进行管理。
杰思安全管理平台提供标准的日志外发接口,可对终端的安全威胁日志外发,供第三方的态势感知系统、日志分析平台、SOC安管平台等做进一步分析使用,形成多产品协同防御效果。
6、灵活多样的产品部署和操作系统版本支持
杰思既有适合集团客户大型网络的分布式部署方式,也有针对中小型企业客户一体化检测防护的单管理平台或SaaS化部署方式。支持VMware ESX、Hyper-V、XEN和KVM等多种虚拟化平台部署。支持Windows XP–Windows10桌面操作系统和Windows server2003-Windows server2016服务器操作系统,以及kernel 2.6以上的主流Linux发行版。
7、简单、省心、权威、无感知的统管模式
杰思主机安全响应系统,不仅有客户端探针小、资源占用轻、适应终端类型全面等特点,在管理模式上也有一套独特的做法。首先从管理角度上,只允许管理员通过统一管理平台进行操作,客户端侧无托盘、无界面、无弹窗,无任何操作,对终端用户无任何打扰,完全无感知,不影响业务正常运行,也能避免终端用户误操作带来其它问题。其次所有的Windows终端、linux终端、虚拟云主机、物理主机,均可通过一个管理平台进行管控,相比一种终端一个管理平台的做法更简单、更省心。同时终端探针有防卸载保护,只有管理员在管理平台统一卸载或在终端使用密码卸载,避免用户私自卸载终端探针,脱离管理范围,管理员更权威。
8、高仿真智能沙箱
充分模拟真实环境应对恶意样本的环境检测;精确查杀PE文件格式的未知恶意软件;数十亿的样本库;通过时钟调速技术,有效避免针对沙箱的延时逃逸;通过大数据挖掘找出正常、恶意两类软件最具有区分度的特征;建立机器学习模型,使用机器学习算法得到恶意软件的识别模型。
9、服务器针对性优化
服务器上更多的应用服务入口也带来了更多的安全风险,杰思基于服务器操作系统特有的服务组件,提供了有针对性的漏洞入侵、越权操作、非法访问等恶意行为的检测和防护手段,同时兼容了包括Windwos Server和Linux Server不同系统版本的应用组件,为服务器提供了更全面的安全防护。
业务服务器通常是7*24小时不间断运行,杰思采用了多种机制提升产品的可靠性:产品支持多版本备份、锁定和快速回退机制,当遇到个别因为环境变化产生的异常问题或用户误操作时可以快速恢复,无需重启服务器或中断业务系统。
服务器上运行的业务和存储的数据一般具有较高价值或涉及敏感信息,相关数据流传输都需要采取保密措施,以防止部分明文信息被恶意获取,带来更严重的安全隐患。杰思安全探针与杰思安全管理平台的通讯及数据信息采用了高强度的加密算法和安全存储机制,最大限度提升产品自身在服务器系统环境的安全性。
10、更高效的资源使用和运行调度
桌面版操作系统CPU、内存、I/O资源调配更偏向前台办公、图形设计、网页浏览等应用,服务器操作系统上的和桌面版不同,其更倾向于后台对外网络业务服务,为此杰思针对此特点优化了自身的进线程调度和监控中断处理,从而保障业务应用更流畅稳定的运行。
一台物理服务器上部署多个虚机的情况下,资源利用需要更加均衡平滑。杰思还会根据检测到的虚拟化环境,自动调整下发的任务队列、指令通讯、上报日志信息的轮询处理机制,减少多虚机瞬时并发资源占用,使整体系统资源调度更平滑稳定,减少拥塞情况发生。
服务器上的客户核心业务的系统资源是要高优先级保障的,杰思的安全探针会根据服务器系统资源的使用情况自适应调整任务执行队列,当服务器处于资源占用高峰状态时,在保障安全防护的情况下非关键操作可自动延时处理,最大化保障业务处理的计算资源。
使用方式
1、硬件
1.1 安全控制中心(物理服务器配置要求)
项目
| 推荐配置
|
CPU
| 四核@1.8GHZ及以上 |
内存
| 32G以上 |
硬盘
| 120GB及以上 |
网卡
| 双网卡 |
| 控制中心网络 | 如有防火墙,需开放终端到控制中心的TCP端口80和443通讯,开放用于远程连接的TCP端口22。 |
浏览器
| Chrome63/Firefox54以上版本 |
网络信息
| IP地址、掩码地址、网关、DNS |
1.2 终端
CPU: P4以上处理器
内存: 1GB以上
硬盘: 10GB以上空闲空间
2、软件
2.1 安全控制中心(虚拟化配置要求)
项目
| 最低配置
|
CPU
| 双核@1.5GHZ及以上 |
内存
| 4G |
硬盘
| 80GB |
网卡
| 双网卡 |
| 控制中心网络 | 如有防火墙,需开放终端到控制中心的TCP端口80和443通讯,开放用于远程连接的TCP端口22。 |
浏览器
| Chrome63/Firefox54以上版本 |
网络信息
| IP地址、掩码地址、网关、DNS |
项目
| 推荐配置
|
CPU
| 四核@1.8GHZ及以上 |
内存
| 8G |
硬盘
| 120GB |
网卡
| 双网卡 |
| 控制中心网络 | 如有防火墙,需开放终端到控制中心的TCP端口80和443通讯,开放用于远程连接的TCP端口22。 |
浏览器
| Chrome63/Firefox54以上版本 |
网络信息
| IP地址、掩码地址、网关、DNS |
2.2 终端
CPU: P4以上处理器
内存: 1GB以上
硬盘: 10GB以上空闲空间(探针安装目录占用空间30MB左右)
3、终端支持的操作系统版本
Windows XP/VISTA/7/8/8.1/10(x86,x64)
Windows Server 2003/2008/2012/2016(x86,x64)
Red Hat及其衍生版本(x86,x64)
Linux kernel 2.6及以后(x86,x64)
4、网络
4.1安全控制中心
根据网络环境拓扑,分配给设备固定IP地址及域名,具体网络信息如下:
1) 静态IP地址
2) 子网掩码
3) 网关
4) DNS服务器地址
5) 域名
4.2终端
终端对网络要求比较低,不要求IP地址固定。
4.3网络
确保终端和安全控制中心之间的网络畅通,如果终端和控制中心之间有防火墙或者类似的安全设备需要进行相应设置,避免网络拦截。
案例
中国石油天然气股份有限公司主机安全防护项目
国家电网山东省电力有限公司主机安全防护项目
黑龙江省交通厅运输数据中心主机安全防护项目
吉林省住房保障和房地产管理局主机安全防护项目
服务过程 全程监管
交易问题 退款维权
服务商 实名验证