天眼产品专题培训ppt课件

360360天眼产品天眼产品360天眼产品1CONTENTS/目录PART/01集团介绍PART/02场景问题PART/03功能价值PART/04优势特点PART/05形态部署成功案例PART/06CONTENTS/目录PART/01集团介绍PARTPART/01集团介绍PART/01集团介绍3360公司的创立与发展12005-公司成立2006-2009-2012-二次创业搜索引擎、智能硬件、智能手机、企业安全2016-业务重组品牌、专利、数据个人业务互联网模式政企业务产品+服务模式共享360科技集团360企业安全集团全球唯一一家脱胎于互联网公司的专业安全公司360公司的创立与发展12005-公司成立2006-2009360企业安全集团以“数据驱动安全”的创新方法论为依托，建立了大数据时代的协同联动防御体系，全方位提升中国政企客户的安全防护能力和水平，与全社会一起构建安全命运共同体。全方位保护政企级网络安全360 企业安全集团以“数据驱动安全”的创新方法论为依托，建PART/02场景问题PART/02场景问题6高级持续定向攻击各类高级威胁的危害：窃密机密、隐私泄露、关键设施破坏、敲诈勒索APT攻击事件：摩诃草事件、蔓灵花行动僵尸网络类、后门、间谍软件窃密木马、勒索病毒服务器高级漏洞攻击类高级持续定向攻击各类高级威胁的危害：APT攻击事件：摩诃草事7当前安全威胁处置的困局检测传统的检测手段使用基于签名的技术无法检测高级威胁基于签名的检测会产生大量无用告警影响对于入侵攻击的判断响应发现威胁后，缺少有效的联动防御机制予以响应缺少专业的安全人员提供针对安全事件进行快速的调查分析与应急响应溯源缺少原始网络行为日志和原始主机行为日志，不利于安全溯源分析海量日志存储和快速检索技术难度大缺乏高价值的威胁情报，无法有效发现定向攻击并对网络攻击进行有效的背景分析当前安全威胁处置的困局检测8国家政策要求等保2.0的网络安全等级保护基本要求第1部分：安全通用要求的第七章“第三级安全要求”中明确提出了要具有检测和分析未知的新型网络攻击的技术措施。网络安全等级保护测评要求第1部分：安全通用要求中也明确提出了在等保三级评测时测评对象需具有抗APT攻击设备国家政策要求等保2.0的网络安全等级保护基本要求 第1部9PART/03功能价值PART/03功能价值10天眼天眼TSSTSS新一代威胁感知系统新一代威胁感知系统天眼TSS定位：为客户提供针对网络高级威胁的检测、响应、溯源的一体化解决方案。APT特种木马类高级漏洞攻击类可以通过特征检测的威胁高级威胁已知威胁天眼检测能力威胁金字塔数据中心环境办公网环境天眼TSS新一代威胁感知系统天眼TSS定位：为客户提供针对网11天眼的检测能力进入网络漏洞利用安装恶意软件远程通信横向渗透/泄密传感器捕获行为传感器捕获行为分析平台根据威胁情报发现天擎捕获行为传感器根据特征发现文件威胁鉴定可以发现问题传感器根据特征发现威胁生命周期天眼数据采集天眼威胁检测传感器多种引擎可以检测的入侵传感器可以检测PHP脚本覆盖威胁的全生命周期的本地检测能力天眼的检测能力进入漏洞安装恶意软件远程横向渗透/泄密传感器捕12天眼功能介绍天眼功能介绍检测检测溯源溯源威胁情报文件威胁鉴定IDS检测WebIDS检测WebShell检测告警处置终端联动网关联动专家服务流量采集终端日志关联日志存储及检索基于情报的背景研判响应响应天眼功能介绍检测溯源威胁情报告警处置流量采集响应13天眼体系架构传感器1传感器2天擎终端数据引擎威胁感知系统日志检索云端威胁情报分析平台天擎文件威胁鉴定器流量传感器静态检测沙箱数据引擎分析平台扩展域名解析TCP/UDP流量Web访问文件传输LDAP行为登录动作邮件行为数据库操作SSL加密协商U盘日志邮件日志IM文件传输进程网络行为进程DNS传感器n天眼体系架构传感器1传感器2天擎终端数据引擎威胁感知系统日志14威胁情报威胁情报（ThreatIntelligence）是一种基于证据的描述威胁的一组关联的信息，包括威胁相关的环境信息、采用的手法机制、指标、影响，以及行动建议等。与传统的单点的病毒或信誉等信息不同，这一系列对于攻击威胁的信息，可以让我们了解高级威胁的全貌，并可以被抽象成可机读威胁情报（MRTI），用来进行应对决策，并对威胁进行响应。威胁情报云端大数据攻击特点攻击背景攻击组织者攻击目的行业覆盖度活跃程度外链URL恶意IP恶意域名样本MD5天眼分析平台发现高级网络攻击：海莲花摩诃草事件蔓灵花行动WannaCry勒索威胁情报威胁情报（Threat Intelligence）是15分析平台ES索引文件预处理智能检索引擎SecSearch大数据分析威胁感知数据服务总线流式计算引擎SecStreamApp数据采集流量数据关联分析引擎SecCEP统计分析引擎威胁情报归一化、数据抽取、转换、富化存储威胁情报中心威胁情报数据报表服务可视化分析引擎SQL分析语义统一威胁事件视图告警日志日志检索报表管理管理功能受害主机视图受害服务器视图受害用户器视图网络日志日志报表告警报表终端日志终端数据分析平台ES 索引文件预处理智能检索引擎大数据分析威胁感知数16流量传感器流量采集DNSFTPHTTPSSLSMB基于双向会话分析的Web入侵检测基于沙箱的webshell上传检测基于规则的网络入侵检测基于人工智能机器自学习的入侵检测nbt引擎产生准确的入侵告警告警信息存入分析平台，与威胁情报告警信息相辅助，作为攻击取证及快速溯源的数据支撑协议分析检测引擎流量采集检测结果流量传感器流DNSFTPHTTPSSLSMB基于双向会话17文件威胁鉴定器恶意行为分析恶意文件高危中危低危高危事件可疑事件疑似事件多种不同引擎，多维度检测威胁已知检测与未知检测相互补充静态检测与动态监测相辅相成准确的评分机制降低误报与漏报静态检测引擎动态检测引擎恶意代码检测文件格式检测启发式检测人工智能引擎检测云查检测虚拟执行检测文件文件威胁鉴定器恶意行为分析恶意文件高危中危低危高危事件可疑事18价值满足新等保的合规要求提升用户对高级威胁发现能力帮助安全团队提升重大安全事件的应急响应能力提高安全事件的溯源能力价值满足新等保的合规要求19PART/04优势特点PART/04优势特点20优势优势11国内首屈一指的威胁情报平台国内首屈一指的威胁情报平台每天从900万个新增样本、300万新增域名、上亿恶意URL，以及结合多方社区、组织、第三方报告等资源，进行情报搜集和挖掘，每天形成超过百份的威胁及漏洞情报，通过在线或离线方式推送到客户侧的产品、服务、平台，以及与第三方安全组织进行情报交换共享。优势1国内首屈一指的威胁情报平台每天从900万个新增样本21优势优势22精准的高级威胁发现能力精准的高级威胁发现能力利用可机读IOC与本地流量日志及终端日志进行关联匹配，准确发现失陷主机；分析平台&威胁情报基于双向会话WebIDS检测引擎，只对攻击成功进行告警；基于人工智能机器自学习的入侵检测nbt引擎流量传感器采用虚拟环境模拟方法，全面分析恶意代码恶意行为，细粒度检测漏洞利用和恶意行为；文件威胁鉴定器优势2精准的高级威胁发现能力利用可机读IOC与本地流量日22优势优势33海量数据的运算和检索能力海量数据的运算和检索能力ESES传统ES架构数据量10亿千亿查询速度分钟秒入库性能一般一般存储备份缺失有数据恢复缺失有关联分析3000eps20000eps数据采集单点10000eps单点50000eps高性能为更广泛的监控能力提供支撑为快速的响应分析提供保障为更加复杂的分析提供可能为不断发展的业务提供未来高可用不因为技术复杂而增加使用复杂度不因为性能高而不考虑可扩展性不因为技术新而不考虑可靠性mysql360天眼优势3海量数据的运算和检索能力ESES传统ES架构数据量23优势优势44完整的事件溯源能力完整的事件溯源能力进入网络漏洞利用安装恶意软件远程通信横向渗透/泄密传感器捕获行为传感器捕获行为天擎捕获行为威胁生命周期天眼数据采集发现问题回溯路径回溯路径天眼强大的数据采集能力可以保证在攻击链条任何一个地方发现威胁后，都可以完整回溯整个攻击发生全过程优势4完整的事件溯源能力进入网络漏洞利用安装恶意软件远程24PART/05形态部署PART/05形态部署25天眼典型部署360云端大数据平台威胁情报中心威胁情报终端日志天眼分析平台天眼文件威胁鉴定天眼采集器流量日志样本日志全面的采集网络及主机日志完整还原文件并进行深度分析引入360强大的威胁情报通过轻量化的大数据平台分析威胁准确的威胁检测告警天眼典型部署360云端大数据平台威胁情报终端日志天眼天眼文件26天眼组合方案高级威胁检测方案1.检测发现传统防护手段漏过的未知威胁2.有效发现未知恶意文件3.对企业内的海量数据进行安全分析4.对企业内已发现的问题进行攻击回溯天眼传感器天眼分析平台天眼文件威胁鉴定器（可选）文件威胁检测方案天眼传感器天眼文件威胁鉴定器（可选）1.检测发现传统防护手段漏过的未知威胁2.有效发现未知恶意文件组件方案说明天眼组合方案高级威胁检测方案1.检测发现传统防护手段漏过的未27PART/06成功案例PART/06成功案例28天眼行业成功案例之能源天眼行业成功案例之能源/央企篇央企篇国内某能源行业的巨头企业，通过部署360天眼新一代威胁感知系统采集全流量数据以及威胁情报，并结合360安全服务人员基于攻防思路构建的分析模型，为用户提供内部失陷主机、外部攻击、内部违规和内部风险等关键信息安全问题的周期性检测、发现、响应服务，提升了发现和防御未知威胁的能力。需求高级威胁自动化检测需求安全问题追踪溯源需求重大安全事件的响应和处置需求解决方案价值解决APT检测难的问题提升对于攻击者分析的视野和维度解决安全事件难溯源的问题提升应对高级威胁事件处置的综合能力背景天眼行业成功案例之能源/央企篇国内某能源行业的巨头企业，通过29典型用户典型用户典型用户30THANKSTHANKS31