UniEDR終端檢測與響應系統

產品概述

一體化終端威脅檢測與響應平臺 助力企業完善端點安全保護

隨著網絡攻擊技術變化，傳統安全保護系統無法解決未知威脅、高級威脅等定向性攻擊手段，如何解決該方面的安全短板是企業當前的迫切需求。聯軟科技通過UniEDR系統為企業提供威脅檢測和響應處置于一體的終端防御平臺。

通過終端系統級數據進行全面采集，基于ATT&CK框架對終端上的危險行為和入侵行為進行檢測，基于機器學習對終端上的異常行為進行檢測，內置專家規則和誘餌對惡意行為進行快速判定，同時針對上述威脅進行及時告警，并通過威脅調查工具進行全面取證，通過控制、隔離、刪除等措施進行處置，并對受損終端進行恢復。

主要功能

行為采集

對系統配置、啟動項、系統日志、軟硬件、補丁安裝等系統靜態數據，以及系統運行的賬號登陸日志、驅動變更信息、進程信息、網絡連接、文件讀寫、注冊表讀寫、PowerShell&CMD命令、DNS請求、端口監聽等數據進行全面采集，并可于聯軟UniNAC\UniAccess\UniDLP\UniNID等系統無縫對接，實現網絡、設備、數據全方面的采集。

威脅檢測

基于專家級行為基線分析模型檢測產生攻擊告警 ；

通過MIRTRE ATT&CK攻擊者戰術知識庫映射比對，定位與展示攻擊階段。

安全事件

對威脅行為特征進行綜合判定，產生安全事件和告警信息；

自動化分類安全告警信息，結合多種方式快速通知告警；

安全事件關聯攻擊日志和原始日志，展示攻擊鏈詳情，清晰展示攻擊事件關聯，快速溯源分析。

威脅調查

支持多條件組合查詢，多維度數據聚合，關鍵信息可便簽標記，便簽內容高亮展示；

進程事件樹方式展示進程關系及相關詳細進程行為信息；支持圖關系查詢，實時展示關聯調查步驟關系；

調查對象、關聯數據支持以時間流方式抽取記錄，進行查詢回溯，自主生成調查取證報告。

威脅處置

支持網絡隔離、阻斷，設備關機，進程權限限制、隔離，文件隔離、刪除等多方位處置手段；

支持與UniNAC網絡準入控制、UniAccess終端安全管理等多種安全管控平臺深度結合聯動。

主要安全設計

全面、精準數據采集

數據采集針對不同類型信息針對性分類處理，性能占用低、數據采集全面，PE文件信息、底層硬件信息、文檔內容等信息都可完整采集，數據關聯信息以圖的方式進行存儲，方便查詢

快速威脅檢測

以MITER ATT＆CK?為基礎，系統化對威脅檢測策略規劃，相比傳統依賴已知案例專家規則，能夠更全面的對威脅進行防御，發現未知潛在威脅；

獨創的高速數據存儲、處理引擎和圖計算模型，大幅提升計算速度，有效提升威脅調查的速度，更快發現威脅。

更高ROI

整體性架構平臺，同一Agent集成準入控制、桌管、防泄密功能，根據企業需求與業務發展快速無縫擴展；

1500萬+Agent部署數量，良好的兼容性，系統資源占用更少，大幅節省終端硬件投入，提升員工使用體驗；

與聯軟UniNDR、UniCWPP（服務器側的威脅檢測）無縫聯動，所有產品基于統一個威脅檢測模型實現高效檢測和更加全面的威脅處置。

主要價值

提升終端安全管理的可見性，有效發現未知威脅

能夠基于統一的威脅檢測框架，對威脅防御工作進行評估量化，自動對威脅進行識別，并通知安全人員

威脅調查工具可對已識別的威脅進行研究并搜尋潛在的可疑活動

通過有效、及時的處置手段，對威脅進行遏制、刪除，保護企業資產

應用場景

高級可持續攻擊防護、挖礦與黑市工具等非攻擊性惡意軟件防御、點滴式數據竊取行為防御