-
应用场景与痛点
-
1.终端行为采集:采集终端行为数据,利用进程关联组合,以进程树形式还原终端行为。依据内置告警规则和多种行为检测模型,结合数百条检测规则,主动识别终端安全威胁。
2.利利用自主研发的专家规则库,我们对终端进行多维度深层次检测,包括文件、进程、主机访问、内存运行及业务关系等,以实现对入侵行为的不间断监控和即时检测。一旦发现异常,将迅速启动毫秒级报警与响应机制。
通过全网调查,实施内存恶意文件检测:利用Yara规则进行内存扫描,精确匹配进程名称、目录和MD5值,快速识别、定位并处置潜在威胁。
4.通过单点运维平台,收集终端资产、操作系统、网络信息等,统一查看支持远程调查,辅助精准研判告警。
-
1.行为采集监测
联软实施了全面的终端安全监测方案,通过持续采集和实时监控安全数据,有效增强发现潜在威胁的能力。联软EDR全面收集终端安全行为数据,包括主机、用户、服务、PE信息,以及进程、文件、网络、DNS、登录日志和Powershell事件等终端事件记录,还有注册表、自启动项、系统用户、服务和驱动的变更记录。
2.专家规则
专家规则引擎支持检测多种类型的行为,如进程、文件、执行块 的行为;网络活动(进程、端口监听、网络连接五元组、DNS 请求、 HTTP/HTTPS 请求);注册表的 KEY、VALUE 活动。
3.全网调查
网络攻击中,CS是最常用的C2工具。通过EDR的全网调查功能,我们制定了专门针对CS的YARA规则策略,对全员终端进行内存实时扫描,以及时发现和应对潜在威胁,降低攻击成功率。
