北信源主機安全檢測響應(yīng)系統(tǒng)V3.0(簡稱EDR),以端點檢測與響應(yīng)技術(shù)為基礎(chǔ),依照識別-檢測-分析-防御-響應(yīng)縱深防御思路,首先將對整個網(wǎng)絡(luò)進行業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)現(xiàn)狀及脆弱性的摸底,讓資產(chǎn)環(huán)境已知的安全隱患浮出水面。其次,對未知風(fēng)險進行實時的行為監(jiān)控,再利用大數(shù)據(jù)模型進行行為分析,對已知和未知威脅做出智能響應(yīng),并最終建設(shè)智能化的安全體系。
依照識別-防御-檢測-響應(yīng)縱深防御思路,
1)對終端資產(chǎn)、脆弱性進行摸底,讓已知的安全隱患浮出水面;
2)對網(wǎng)絡(luò)攻擊進行主動防御,形成終端安全底線;
3)對異常行為進行實時監(jiān)控和智能分析;
4)基于智能編排技術(shù),對已知和未知威脅做出閉環(huán)響應(yīng)。
其中,基于ATT&CK行為分析建模。可進行文件活動軌跡、進程動態(tài)、網(wǎng)絡(luò)訪問、注冊表變更、DNS訪問等多維度關(guān)聯(lián)分析,并能將網(wǎng)絡(luò)訪問情況、進程父子調(diào)用、注冊表篡改情況以樹形結(jié)構(gòu)立體呈現(xiàn),為用戶展現(xiàn)完整攻擊鏈。可追溯惡意進程的運行時間、詳細路徑、以及文件進程信息詳情。
