2024年分宜電廠APT高級威脅檢測設(shè)備介紹

申請免費(fèi)試用、咨詢電話：400-8352-114

 　　APT高級威脅檢測設(shè)備

　　硬件要求

　　標(biāo)準(zhǔn)1U機(jī)架式安全設(shè)備，配置冗余電源，提供≥4個10/100/1000M自適應(yīng)管理接口，業(yè)務(wù)口配置不少于2個10/100/1000M自適應(yīng)電口、4個千兆光口，額外配置2個接口擴(kuò)展槽位。擴(kuò)展接口理論滿配支持8個萬兆光口或16個千兆電口(或光口)，內(nèi)存≥32GB，硬盤≥2TB。

　　功能要求

　　1.具備全流量檢測能力，告警事件須自動給出攻擊結(jié)果判定，以減少分析噪音，攻擊結(jié)果包括成功、失敗、正在利用等，對于告警事件須提供原始數(shù)據(jù)報文以供研判分析;支持對惡意軟件利用、可疑行為、攻擊利用、攻擊探測、APT攻擊事件等常見攻擊類型進(jìn)行檢測;支持對暴力破解行為進(jìn)行檢測，可自定義檢測周期、檢測頻率，支持檢測的協(xié)議類型包括但不限于：HTTP、HTTPS、FTP、SSH、SMTP、IMAP、RDP、MySQL、Oracle、MSSQL、POP3、Telnet等;支持郵件二維碼檢測和釣魚郵件算法檢測;

　　2.支持內(nèi)置分析場景不少于15個，至少包括：特征檢測場景、惡意域名場景、脆弱口令場景、暴力破解場景、掃描探測場景、DDOS攻擊場景、郵件檢測場景、威脅情報分析場景、挖礦行為分析場景、勒索專項分析場景、橫向移動分析場景、僵木蠕分析場景、WEB攻擊場景、DNS隧道檢測場景、可疑行為分析場景;

　　3.支持挖礦行為場景化分析，可查看挖礦幣種分布圖、挖礦主機(jī)活躍度、挖礦階段圖、挖礦主機(jī)、礦池地址、挖礦階段、挖礦持續(xù)時間等信息，可查看的挖礦階段至少包括嘗試連接礦池、連接礦池成功、獲取挖礦任務(wù)、挖礦控制通信、挖礦成功;

　　4.具備獨(dú)立的研判界面，支持對告警事件進(jìn)行研判分析，可查看告警事件的請求頭、請求體、響應(yīng)頭、響應(yīng)體或payload;可下載告警事件的原始數(shù)據(jù)報文，提供在線報文分析;

　　5.須內(nèi)置沙箱，具備100種以上文件格式沙箱檢測能力，涵蓋Windows、Linux、Android多種操作系統(tǒng)，支持自定義文件類型;支持人工干預(yù)沙箱檢測過程，可登錄正在運(yùn)行的沙箱環(huán)境，進(jìn)行鼠標(biāo)點(diǎn)擊等干預(yù)操作;支持惡意代碼反混淆檢測，可自動識別加殼程序并自動脫殼，支持的加殼程序至少包括UPX、Aspack、PECompact、WinUpack;

　　6.具備未知威脅分析能力，可通過動態(tài)沙箱實(shí)現(xiàn)未知威脅的檢測、分析;沙箱具備進(jìn)程操作行為、文件操作行為、系統(tǒng)配置操作行為、網(wǎng)絡(luò)通信行為等方面的分析能力與擴(kuò)展能力;同時可通過事件關(guān)聯(lián)分析模塊以可視化方式提供時間段內(nèi)，被監(jiān)測網(wǎng)絡(luò)中的特定主機(jī)與其他主機(jī)之間、威脅事件影響主機(jī)的相關(guān)聯(lián)的已知、未知威脅事件與異常網(wǎng)絡(luò)行為，并可采用智能化和自動化方式將多個相關(guān)聯(lián)和類似的攻擊事件進(jìn)行歸并，具備基于安全規(guī)則實(shí)現(xiàn)安全事件的關(guān)聯(lián)分析的技術(shù)能力，并獲得國家權(quán)威機(jī)構(gòu)的技術(shù)認(rèn)證;

　　7.產(chǎn)品制造商需曾入選國家級“APT監(jiān)測分析”網(wǎng)絡(luò)安全應(yīng)急支撐單位，并具備獨(dú)立的高級可持續(xù)威脅(APT)安全監(jiān)測產(chǎn)品的銷售許可證(增強(qiáng)級)。

　　8.具備未知威脅分析能力，可通過動態(tài)沙箱實(shí)現(xiàn)未知威脅的檢測、分析;沙箱具備進(jìn)程操作行為、文件操作行為、系統(tǒng)配置操作行為、網(wǎng)絡(luò)通信行為等方面的分析能力與擴(kuò)展能力;同時可通過事件關(guān)聯(lián)分析模塊以可視化方式提供時間段內(nèi)，被監(jiān)測網(wǎng)絡(luò)中的特定主機(jī)與其他主機(jī)之間、威脅事件影響主機(jī)的相關(guān)聯(lián)的已知、未知威脅事件與異常網(wǎng)絡(luò)行為，并可采用智能化和自動化方式將多個相關(guān)聯(lián)和類似的攻擊事件進(jìn)行歸并，具備基于安全規(guī)則實(shí)現(xiàn)安全事件的關(guān)聯(lián)分析的技術(shù)能力，并獲得國家權(quán)威機(jī)構(gòu)的技術(shù)認(rèn)證。評審依據(jù)：上述功能提供對應(yīng)截圖和封面具有CMA或CNAS標(biāo)志的國家認(rèn)可的第三方檢測(驗(yàn))機(jī)構(gòu)出具的對應(yīng)功能體現(xiàn)的檢測報告復(fù)印件并加蓋制造商公章佐證;技術(shù)能力須提供國家權(quán)威機(jī)構(gòu)出具的技術(shù)證書證明材料復(fù)印件并加蓋制造商公章佐證。

　　9.具備多樣化的安全監(jiān)測能力，能實(shí)現(xiàn)常用電子郵件、應(yīng)用、遠(yuǎn)程控制、VPN等協(xié)議的數(shù)據(jù)收集，并實(shí)現(xiàn)對惡意掃描行為、釣魚郵件攻擊、地址欺騙、漏洞攻擊、惡意程序、異常網(wǎng)絡(luò)通信行為等攻擊行為的監(jiān)測，并具備防逃避監(jiān)測的手段，可實(shí)現(xiàn)漏洞攻擊、惡意程序、隱蔽信道等方面的防逃避監(jiān)測;具備基于網(wǎng)絡(luò)設(shè)備提取流量攻擊報文特征的技術(shù)能力，并獲得了國家權(quán)威機(jī)構(gòu)的技術(shù)認(rèn)證。

　　評審依據(jù)：上述功能提供對應(yīng)截圖和封面具有CMA或CNAS標(biāo)志的國家認(rèn)可的第三方檢測(驗(yàn))機(jī)構(gòu)出具的對應(yīng)功能體現(xiàn)的檢測報告復(fù)印件并加蓋制造商公章佐證;技術(shù)能力須提供國家權(quán)威機(jī)構(gòu)出具的技術(shù)證書證明材料復(fù)印件并加蓋制造商公章佐證。

　　10.★具備較高的安全檢測能力，對于已知安全威脅樣本檢測率不低于100%，對于未知安全威脅樣本檢測率不低于80%;具備較低的誤報率，整體誤報率不高于10%。具備專業(yè)的高級持續(xù)威脅的檢測技術(shù)能力，并獲得了國家權(quán)威機(jī)構(gòu)的技術(shù)認(rèn)證。評審依據(jù)：上述檢測和誤報能力的體現(xiàn)需要封面具有CMA或CNAS標(biāo)志的國家認(rèn)可的第三方檢測(驗(yàn))機(jī)構(gòu)出具的對應(yīng)的檢測報告復(fù)印件并加蓋制造商公章佐證;技術(shù)能力須提供國家權(quán)威機(jī)構(gòu)出具的技術(shù)證書證明材料復(fù)印件并加蓋制造商公章佐證。

　　11.★其他要求提供原廠商授權(quán)書、三年售后服務(wù)承諾書及三年特征庫升級;APT可通過聯(lián)動接口與IDS、防火墻、網(wǎng)閘等安全防護(hù)產(chǎn)品進(jìn)行聯(lián)動。聯(lián)動產(chǎn)品將監(jiān)測到的可疑文件通過聯(lián)動接口傳送至本系統(tǒng)，由本系統(tǒng)進(jìn)行動態(tài)沙箱檢測。系統(tǒng)檢測的結(jié)果也可以通過聯(lián)動接口傳送回聯(lián)動設(shè)備等設(shè)備，以作為傳統(tǒng)安全防護(hù)產(chǎn)品對于惡意文件類型的攻擊無法準(zhǔn)確檢測的補(bǔ)充，做到全方位的防護(hù);為了便于管理及維護(hù)與現(xiàn)有IDS為同一品牌。