方案背景
终端安全是整体网络安全必不可少的重要环节,威胁事件最终都会落在“端”侧体现,最终也要在“端”侧才能实现闭环。网络与终端两侧的防护往往割裂,两侧对威胁事件的检测机制、方式都不同。难以避免会出现威胁定位不精准、威胁处置结果不同步,无法快速定位威胁事件原因、快速处置告警事件等情况,导致威胁事件难以闭环。具体原因如下:
威胁难定位:网络侧发现威胁之后只能定位到终端,无法详细定位到风险终端的责任人、威胁进程和文件。运营人员“盲”处置,难以了解事件发生的根因。
威胁难处置:网络与终端两侧通信未打通,运营人员需要频繁切换两端安全产品做分析和处置,处置结果不同步。处置操作麻烦,且难以处置干净,问题易复发(如挖矿事件反复)。
重复工作多:每一个告警事件都需要运营人员自己定位分析,再使用终端侧安全软件做查杀处置。重复工作量多,威胁驻留时间长。
解决方案
SIP EDR 方案帮助用户打通网端两侧数据,精准定位安全事件根因,一键联动处置终端威胁。无需协调人员配合即可闭环处置威胁,减少人力运营,提升安全运营效率。方案机制如下:
海量信息关联举证,精准定位
EDR 上报终端海量信息至 SIP,为 SIP 精准定位提供丰富数据源。风险主机责任人、威胁进程、威胁 文件详细定位。安全事件进程链、父子进程展示,还原威胁事件路径。通过网端举证和关联分析,提升威胁 检出率,降低误报,精准定位安全事件根因。让安全事件不再“盲”处置。
网端联动快速处置,事件闭环
网络侧的告警事件,可直接在 SIP 界面联动 EDR 在终端侧扫描查杀、一键隔离。EDR 自动上报查杀 结果,管理员可发起一键隔离、信任等处置操作。从事件告警到处置,用户只需在 SIP 界面操作。终端侧 的处置结果也会同步上报至 SIP,网端两侧处置结果同步。让安全事件彻底处置“干净”,快速闭环。
高危事件自动联动,简化分析
管理员可自定义剧本对威胁事件实现自动化响应,若触发剧本中预设的场景(如 SIP 判定为勒索病毒 等),可自动联动 EDR 隔离风险主机所有端口,并对主机隔离。防止威胁横向扩散。对高危事件快速响应, 减少人工重复操作。
方案价值
更精准的检测率:网端两侧数据打通,EDR 上报丰富数据至 SIP,为 SIP 分析提供数据源。通过网端举
证和关联分析,大幅度提升威胁检出率,降低误报。
更详细的溯源举证:威胁文件、进程详细定位,安全事件父子进程展示,精准定位安全事件根因。
更快速的闭环响应:网端联动查杀风险主机,终端上报处置结果至 SIP,网端两侧处置结果同步。同时可自定义剧本,当触发预设场景可自动联动 EDR 处置,快速响应高危事件。
铭冠网安深信服安全感知平台SIP 终端安全管理系统EDR 联动方案部署拓扑图
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。