2024年分宜電廠APT高級(jí)威脅檢測(cè)設(shè)備介紹

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

 　　APT高級(jí)威脅檢測(cè)設(shè)備

　　硬件要求

　　標(biāo)準(zhǔn)1U機(jī)架式安全設(shè)備，配置冗余電源，提供≥4個(gè)10/100/1000M自適應(yīng)管理接口，業(yè)務(wù)口配置不少于2個(gè)10/100/1000M自適應(yīng)電口、4個(gè)千兆光口，額外配置2個(gè)接口擴(kuò)展槽位。擴(kuò)展接口理論滿配支持8個(gè)萬兆光口或16個(gè)千兆電口(或光口)，內(nèi)存≥32GB，硬盤≥2TB。

　　功能要求

　　1.具備全流量檢測(cè)能力，告警事件須自動(dòng)給出攻擊結(jié)果判定，以減少分析噪音，攻擊結(jié)果包括成功、失敗、正在利用等，對(duì)于告警事件須提供原始數(shù)據(jù)報(bào)文以供研判分析;支持對(duì)惡意軟件利用、可疑行為、攻擊利用、攻擊探測(cè)、APT攻擊事件等常見攻擊類型進(jìn)行檢測(cè);支持對(duì)暴力破解行為進(jìn)行檢測(cè)，可自定義檢測(cè)周期、檢測(cè)頻率，支持檢測(cè)的協(xié)議類型包括但不限于：HTTP、HTTPS、FTP、SSH、SMTP、IMAP、RDP、MySQL、Oracle、MSSQL、POP3、Telnet等;支持郵件二維碼檢測(cè)和釣魚郵件算法檢測(cè);

　　2.支持內(nèi)置分析場(chǎng)景不少于15個(gè)，至少包括：特征檢測(cè)場(chǎng)景、惡意域名場(chǎng)景、脆弱口令場(chǎng)景、暴力破解場(chǎng)景、掃描探測(cè)場(chǎng)景、DDOS攻擊場(chǎng)景、郵件檢測(cè)場(chǎng)景、威脅情報(bào)分析場(chǎng)景、挖礦行為分析場(chǎng)景、勒索專項(xiàng)分析場(chǎng)景、橫向移動(dòng)分析場(chǎng)景、僵木蠕分析場(chǎng)景、WEB攻擊場(chǎng)景、DNS隧道檢測(cè)場(chǎng)景、可疑行為分析場(chǎng)景;

　　3.支持挖礦行為場(chǎng)景化分析，可查看挖礦幣種分布圖、挖礦主機(jī)活躍度、挖礦階段圖、挖礦主機(jī)、礦池地址、挖礦階段、挖礦持續(xù)時(shí)間等信息，可查看的挖礦階段至少包括嘗試連接礦池、連接礦池成功、獲取挖礦任務(wù)、挖礦控制通信、挖礦成功;

　　4.具備獨(dú)立的研判界面，支持對(duì)告警事件進(jìn)行研判分析，可查看告警事件的請(qǐng)求頭、請(qǐng)求體、響應(yīng)頭、響應(yīng)體或payload;可下載告警事件的原始數(shù)據(jù)報(bào)文，提供在線報(bào)文分析;

　　5.須內(nèi)置沙箱，具備100種以上文件格式沙箱檢測(cè)能力，涵蓋Windows、Linux、Android多種操作系統(tǒng)，支持自定義文件類型;支持人工干預(yù)沙箱檢測(cè)過程，可登錄正在運(yùn)行的沙箱環(huán)境，進(jìn)行鼠標(biāo)點(diǎn)擊等干預(yù)操作;支持惡意代碼反混淆檢測(cè)，可自動(dòng)識(shí)別加殼程序并自動(dòng)脫殼，支持的加殼程序至少包括UPX、Aspack、PECompact、WinUpack;

　　6.具備未知威脅分析能力，可通過動(dòng)態(tài)沙箱實(shí)現(xiàn)未知威脅的檢測(cè)、分析;沙箱具備進(jìn)程操作行為、文件操作行為、系統(tǒng)配置操作行為、網(wǎng)絡(luò)通信行為等方面的分析能力與擴(kuò)展能力;同時(shí)可通過事件關(guān)聯(lián)分析模塊以可視化方式提供時(shí)間段內(nèi)，被監(jiān)測(cè)網(wǎng)絡(luò)中的特定主機(jī)與其他主機(jī)之間、威脅事件影響主機(jī)的相關(guān)聯(lián)的已知、未知威脅事件與異常網(wǎng)絡(luò)行為，并可采用智能化和自動(dòng)化方式將多個(gè)相關(guān)聯(lián)和類似的攻擊事件進(jìn)行歸并，具備基于安全規(guī)則實(shí)現(xiàn)安全事件的關(guān)聯(lián)分析的技術(shù)能力，并獲得國(guó)家權(quán)威機(jī)構(gòu)的技術(shù)認(rèn)證;

　　7.產(chǎn)品制造商需曾入選國(guó)家級(jí)“APT監(jiān)測(cè)分析”網(wǎng)絡(luò)安全應(yīng)急支撐單位，并具備獨(dú)立的高級(jí)可持續(xù)威脅(APT)安全監(jiān)測(cè)產(chǎn)品的銷售許可證(增強(qiáng)級(jí))。

　　8.具備未知威脅分析能力，可通過動(dòng)態(tài)沙箱實(shí)現(xiàn)未知威脅的檢測(cè)、分析;沙箱具備進(jìn)程操作行為、文件操作行為、系統(tǒng)配置操作行為、網(wǎng)絡(luò)通信行為等方面的分析能力與擴(kuò)展能力;同時(shí)可通過事件關(guān)聯(lián)分析模塊以可視化方式提供時(shí)間段內(nèi)，被監(jiān)測(cè)網(wǎng)絡(luò)中的特定主機(jī)與其他主機(jī)之間、威脅事件影響主機(jī)的相關(guān)聯(lián)的已知、未知威脅事件與異常網(wǎng)絡(luò)行為，并可采用智能化和自動(dòng)化方式將多個(gè)相關(guān)聯(lián)和類似的攻擊事件進(jìn)行歸并，具備基于安全規(guī)則實(shí)現(xiàn)安全事件的關(guān)聯(lián)分析的技術(shù)能力，并獲得國(guó)家權(quán)威機(jī)構(gòu)的技術(shù)認(rèn)證。評(píng)審依據(jù)：上述功能提供對(duì)應(yīng)截圖和封面具有CMA或CNAS標(biāo)志的國(guó)家認(rèn)可的第三方檢測(cè)(驗(yàn))機(jī)構(gòu)出具的對(duì)應(yīng)功能體現(xiàn)的檢測(cè)報(bào)告復(fù)印件并加蓋制造商公章佐證;技術(shù)能力須提供國(guó)家權(quán)威機(jī)構(gòu)出具的技術(shù)證書證明材料復(fù)印件并加蓋制造商公章佐證。

　　9.具備多樣化的安全監(jiān)測(cè)能力，能實(shí)現(xiàn)常用電子郵件、應(yīng)用、遠(yuǎn)程控制、VPN等協(xié)議的數(shù)據(jù)收集，并實(shí)現(xiàn)對(duì)惡意掃描行為、釣魚郵件攻擊、地址欺騙、漏洞攻擊、惡意程序、異常網(wǎng)絡(luò)通信行為等攻擊行為的監(jiān)測(cè)，并具備防逃避監(jiān)測(cè)的手段，可實(shí)現(xiàn)漏洞攻擊、惡意程序、隱蔽信道等方面的防逃避監(jiān)測(cè);具備基于網(wǎng)絡(luò)設(shè)備提取流量攻擊報(bào)文特征的技術(shù)能力，并獲得了國(guó)家權(quán)威機(jī)構(gòu)的技術(shù)認(rèn)證。

　　評(píng)審依據(jù)：上述功能提供對(duì)應(yīng)截圖和封面具有CMA或CNAS標(biāo)志的國(guó)家認(rèn)可的第三方檢測(cè)(驗(yàn))機(jī)構(gòu)出具的對(duì)應(yīng)功能體現(xiàn)的檢測(cè)報(bào)告復(fù)印件并加蓋制造商公章佐證;技術(shù)能力須提供國(guó)家權(quán)威機(jī)構(gòu)出具的技術(shù)證書證明材料復(fù)印件并加蓋制造商公章佐證。

　　10.★具備較高的安全檢測(cè)能力，對(duì)于已知安全威脅樣本檢測(cè)率不低于100%，對(duì)于未知安全威脅樣本檢測(cè)率不低于80%;具備較低的誤報(bào)率，整體誤報(bào)率不高于10%。具備專業(yè)的高級(jí)持續(xù)威脅的檢測(cè)技術(shù)能力，并獲得了國(guó)家權(quán)威機(jī)構(gòu)的技術(shù)認(rèn)證。評(píng)審依據(jù)：上述檢測(cè)和誤報(bào)能力的體現(xiàn)需要封面具有CMA或CNAS標(biāo)志的國(guó)家認(rèn)可的第三方檢測(cè)(驗(yàn))機(jī)構(gòu)出具的對(duì)應(yīng)的檢測(cè)報(bào)告復(fù)印件并加蓋制造商公章佐證;技術(shù)能力須提供國(guó)家權(quán)威機(jī)構(gòu)出具的技術(shù)證書證明材料復(fù)印件并加蓋制造商公章佐證。

　　11.★其他要求提供原廠商授權(quán)書、三年售后服務(wù)承諾書及三年特征庫(kù)升級(jí);APT可通過聯(lián)動(dòng)接口與IDS、防火墻、網(wǎng)閘等安全防護(hù)產(chǎn)品進(jìn)行聯(lián)動(dòng)。聯(lián)動(dòng)產(chǎn)品將監(jiān)測(cè)到的可疑文件通過聯(lián)動(dòng)接口傳送至本系統(tǒng)，由本系統(tǒng)進(jìn)行動(dòng)態(tài)沙箱檢測(cè)。系統(tǒng)檢測(cè)的結(jié)果也可以通過聯(lián)動(dòng)接口傳送回聯(lián)動(dòng)設(shè)備等設(shè)備，以作為傳統(tǒng)安全防護(hù)產(chǎn)品對(duì)于惡意文件類型的攻擊無法準(zhǔn)確檢測(cè)的補(bǔ)充，做到全方位的防護(hù);為了便于管理及維護(hù)與現(xiàn)有IDS為同一品牌。