核心优势
安全响应自动化
通过SOAR 安全编排自动化技术,将原本需要多人多设备协同参与处置的安全事件,按照预定义的安全剧本(事件处置流程)进行应急响应,分解运营流程中的任务,抽象成不同类型和粒度的自动或手动触发的剧本,从而全面加速操作过程,减少人工等待,提升安全响应的速度和效率。
安全协同一体化
通过全面收集各类应用 、 系统 、 网络设备 、安全设备等全量日志范式化、 富集化,结合业务场景定制安全分析模型,并结合内外部威胁情报,为安全运营提供准确的安全威胁告警,打破隔阂,掌握安全态势。
协同作战智能化
通过平台AI 协同作战室,以群聊天的方式开展相关工作。内置AI 指挥官可提供专业的漏洞库知识专业解答,提供各类 CVE 漏洞信息的查询,文字识别提取以及其他功能。并可以根据自定义的安全策略库自动开展应急响应,将人、流程、设备串联起来,加速安全响应。
集成生态开放化
平台适配兼容各类安全系统及工具,通过专用的 API 接口和其他方式扩展指标级的采集功能,借助系统内置的安全应用功能,将所有与外部安全设施和运营相关的系统和功能映射为内部可识别的 APP 应用,实现了对内外部应用及其动作和实例的统一化管理。
工作流程
应用场景
内部脆弱性资产管理
联动网络空间探测设备、终端EDR等多重手段建立网络安全资产清单,构建多源威胁情报库,通过定时漏洞扫描任务挖掘资产漏洞,自动生成漏洞扫描报告和漏洞整改工单,由安全运营人员审核后下发公司各个业务部门处置,保障资产安全。
高危攻击自动化响应
通过接收单位内部态势感知、全流量等设备的安全事件告警信息,可联动威胁情报或设置好的判断逻辑,按照预定好的安全事件剧本自动化联动安全设备开展快速应急处置,大幅提升整体处置效率。
失陷终端快速响应
失陷终端是指被黑客攻破、被控制的服务器,可能被盗取数据、植入黑链,当做肉鸡成为攻击内网的工具,危害很大、后患无穷。针对失陷的主机,通过联动CMDB、EDR等,通过排除白名单,快速定位资产属主,区分不同的时间段应用不同策略处置方式,从主机隔离到修复、加固再恢复完整闭环管理失陷主机。
