基于安全防御要素的檢測(cè)及響應(yīng)

以XDR為基礎(chǔ)的管控協(xié)同體系XD產(chǎn)品申心o7/現(xiàn)狀與挑戰(zhàn)o7/現(xiàn)狀與挑戰(zhàn)/數(shù)據(jù)標(biāo)準(zhǔn)參差，需要規(guī)范互通/威脅長(zhǎng)期潛伏，需要主動(dòng)發(fā)現(xiàn)/事件零散分布，需要理清脈絡(luò)/設(shè)備系統(tǒng)眾多，需要統(tǒng)籌策略現(xiàn)狀與挑戰(zhàn)信息化發(fā)展帶來(lái)新的安全場(chǎng)景與問(wèn)題隨著信息化建設(shè)的開展和業(yè)務(wù)的增長(zhǎng)，信息系統(tǒng)價(jià)值在不斷提高，同時(shí)帶來(lái)還有不斷增加的網(wǎng)絡(luò)復(fù)雜度、暴露面和脆弱點(diǎn)混合高級(jí)威脅安全管理身份安全威脅對(duì)抗安全為了解決各場(chǎng)景的問(wèn)題，安全設(shè)備和系統(tǒng)也隨之疊加堆砌WAF…………Page4Page5現(xiàn)狀與挑戰(zhàn)在信息化快速發(fā)展的同時(shí)，承載了高價(jià)值信息的系統(tǒng)顯然成為了攻擊者覬覦的目標(biāo)，攻擊者的攻擊方式和手法也愈加工程化、組織化強(qiáng)針對(duì)性與目的性日混合攻擊手法盛行持續(xù)攻擊成本低廉(MaaS)等攻擊資源的基礎(chǔ)設(shè)施化，也現(xiàn)狀與挑戰(zhàn)作為防守方我們堆砌的設(shè)備可以對(duì)一些明顯特征的攻擊進(jìn)行防范，但是攻擊的迭代周期往往會(huì)明顯短于檢測(cè)和防御能力更新面對(duì)更加復(fù)雜的組合手段攻擊，單一的防御設(shè)備無(wú)法有效攔截，由于攻擊的暴露面往往較廣，也造設(shè)備視角的局限性設(shè)備視角的局限性設(shè)備間無(wú)法統(tǒng)籌分析設(shè)備間無(wú)法統(tǒng)籌分析設(shè)備策略維護(hù)困難設(shè)備策略維護(hù)困難整個(gè)防御體系無(wú)法有效地統(tǒng)籌和協(xié)調(diào)整個(gè)防御體系無(wú)法有效地統(tǒng)籌和協(xié)調(diào)Page6需要全局性的監(jiān)控及響應(yīng)需要統(tǒng)一的中樞分析調(diào)度和協(xié)調(diào)管控體系需要統(tǒng)一的中樞分析調(diào)度和協(xié)調(diào)管控體系安全閉環(huán)安全閉環(huán)身份、終端、業(yè)務(wù)等場(chǎng)景下的異常行為。在全局視角下通過(guò)自動(dòng)化通過(guò)安天威脅對(duì)抗運(yùn)營(yíng)XDR平臺(tái)可以有效統(tǒng)籌各類設(shè)備，構(gòu)建統(tǒng)一Page7數(shù)據(jù)標(biāo)準(zhǔn)參差，需要互聯(lián)互通Page9數(shù)據(jù)標(biāo)準(zhǔn)參差，需要規(guī)范互通數(shù)據(jù)接入的目的不僅僅是將數(shù)據(jù)進(jìn)行簡(jiǎn)單的留存，僅僅匯總數(shù)據(jù)是不夠的，更需要格式的標(biāo)準(zhǔn)和內(nèi)容的規(guī)范，通過(guò)兩者的結(jié)合，才能而數(shù)據(jù)內(nèi)容治理的成本高、短時(shí)間難以見(jiàn)效且需要持續(xù)的維護(hù)，所以市面上很多系統(tǒng)僅支持接入第三方設(shè)備數(shù)據(jù)但并未對(duì)第風(fēng)險(xiǎn)類型統(tǒng)一技戰(zhàn)術(shù)識(shí)別攻擊原理釋義置信度評(píng)估處置建議不僅要格式標(biāo)準(zhǔn)，更需要內(nèi)容標(biāo)準(zhǔn)風(fēng)險(xiǎn)類型統(tǒng)一技戰(zhàn)術(shù)識(shí)別攻擊原理釋義置信度評(píng)估處置建議 對(duì)象化的數(shù)據(jù)結(jié)構(gòu)標(biāo)準(zhǔn)安天根據(jù)數(shù)據(jù)產(chǎn)生原理及分析需要，將數(shù)據(jù)拆分理解、組合重構(gòu)為數(shù)據(jù)對(duì)象通過(guò)數(shù)據(jù)對(duì)象的組裝，形成靈活可拓展的結(jié)構(gòu)標(biāo)準(zhǔn) 數(shù)據(jù)內(nèi)容標(biāo)準(zhǔn)大多數(shù)設(shè)備檢測(cè)后只會(huì)提供結(jié)論的信息，這些結(jié)論信息中不乏晦澀難懂和風(fēng)險(xiǎn)度量標(biāo)準(zhǔn)不一的問(wèn)題，分析人員很難基于有限信息對(duì)檢出的威脅進(jìn)行度量和研判安天通過(guò)專門的分析專家團(tuán)隊(duì)，面向第三方設(shè)備持續(xù)完善威脅認(rèn)知，并定期更新風(fēng)險(xiǎn)名稱翻譯風(fēng)險(xiǎn)評(píng)級(jí)規(guī)范在新威脅上報(bào)時(shí)，平臺(tái)也會(huì)自動(dòng)通過(guò)內(nèi)置的機(jī)器學(xué)習(xí)算法自動(dòng)識(shí)別攻擊信息作為規(guī)則的補(bǔ)充威脅分類庫(kù)、威脅知識(shí)庫(kù)、處置方案庫(kù)、脆弱性知識(shí)庫(kù)、脆弱性關(guān)聯(lián)庫(kù)、暴露面識(shí)別庫(kù)、應(yīng)用知識(shí)庫(kù)等提高整體防御認(rèn)知，需要識(shí)別網(wǎng)空對(duì)象數(shù)據(jù)本身是零散的缺乏上下文語(yǔ)義的，不利于理解和關(guān)聯(lián)，為了有效的提升整體威脅的認(rèn)知，需要通過(guò)網(wǎng)空對(duì)象的識(shí)別促進(jìn)數(shù)據(jù)向信 網(wǎng)空對(duì)象識(shí)別全局身份標(biāo)識(shí)、主機(jī)賬戶標(biāo)識(shí)、郵件賬戶標(biāo)識(shí)、應(yīng)用賬戶標(biāo)識(shí)、外部身份標(biāo)識(shí)等系統(tǒng)連接點(diǎn)、路由連接點(diǎn)、服務(wù)連接點(diǎn)、外部連接點(diǎn)、通聯(lián)過(guò)程資產(chǎn)屬性、配置與策略信息、日志和軌跡信息、接口和通道信息、端口和服務(wù)信息等可執(zhí)行文件/腳本清單、軟件清單、軟件供應(yīng)商清單、內(nèi)部軟件技術(shù)棧清單、執(zhí)行器相關(guān)的重要向量清單 基于網(wǎng)空對(duì)象的統(tǒng)一風(fēng)險(xiǎn)描述形式為對(duì)端/網(wǎng)/業(yè)務(wù)/身份等剖面的風(fēng)險(xiǎn)統(tǒng)一監(jiān)控，需要對(duì)象化的風(fēng)險(xiǎn)描述和分析方法安天采用了基于對(duì)象和作用關(guān)系統(tǒng)一風(fēng)險(xiǎn)描述形式，可以對(duì)攻擊終端、威脅執(zhí)行體、網(wǎng)站內(nèi)容、用戶行為等風(fēng)險(xiǎn)聚合和關(guān)聯(lián)面向各類安全場(chǎng)景提供對(duì)資產(chǎn)及其網(wǎng)絡(luò)/應(yīng)用/暴露面/面向各類安全場(chǎng)景提供對(duì)資產(chǎn)及其網(wǎng)絡(luò)/應(yīng)用/暴露面/脆弱性等環(huán)境信息的識(shí)別關(guān)聯(lián)和風(fēng)險(xiǎn)治理能力 在分析和處置時(shí)，環(huán)境與地形尤為重要資產(chǎn)是安全運(yùn)營(yíng)過(guò)程的核心保護(hù)目標(biāo)，認(rèn)清資產(chǎn)所處環(huán)境和地形是開展威脅對(duì)抗與防我有哪些資產(chǎn)?有哪些資產(chǎn)？承載什么業(yè)務(wù)?會(huì)造成什么影響后果有哪些暴露面?運(yùn)行了哪些應(yīng)用?開放了什么端口?哪些應(yīng)用和服務(wù)暴露在互聯(lián)網(wǎng)資產(chǎn)資產(chǎn)資產(chǎn)現(xiàn)在狀態(tài)如何?有多少資產(chǎn)在線?有沒(méi)有關(guān)鍵設(shè)備宕機(jī)資產(chǎn)會(huì)不會(huì)遭受攻擊?資產(chǎn)有哪些漏洞?配置有沒(méi)有問(wèn)題?設(shè)備和服務(wù)有沒(méi)有弱口令不止梳理資產(chǎn)名錄，更需要摸清環(huán)境與地形 多渠道匯聚和融合環(huán)境與地形信息運(yùn)用多種手段全面、快速、準(zhǔn)確的發(fā)現(xiàn)網(wǎng)絡(luò)中的資產(chǎn)信息，通過(guò)對(duì)多源信息進(jìn)行融合和統(tǒng)籌，識(shí)別資產(chǎn) 基于探海NDR全要素日志等流量信息結(jié)合發(fā)現(xiàn)規(guī)則識(shí)別資產(chǎn)，確定資產(chǎn)的歸屬網(wǎng)絡(luò)/分組/位置/用途等資產(chǎn)信息，同時(shí)無(wú)感發(fā)現(xiàn)終端活躍的應(yīng)用軟件和中間件 通過(guò)平臺(tái)的探測(cè)模塊或協(xié)同掃描設(shè)備，可以更全面的識(shí)別資產(chǎn)上運(yùn)行的操作系統(tǒng)、中間件、應(yīng)用軟件、開放端口和服務(wù)等對(duì)象 通過(guò)智甲EDR上報(bào)的終端資產(chǎn)信息同步用戶資產(chǎn)，除前述內(nèi)容外，可以全面的獲取終端的執(zhí)行體信息、軟硬件、以及服務(wù)、注冊(cè)表、啟動(dòng)項(xiàng)等配置信息 通過(guò)協(xié)同SNMP、網(wǎng)管系統(tǒng)等設(shè)備或系統(tǒng)進(jìn)行同步獲取資產(chǎn)信息，動(dòng)態(tài)構(gòu)建資產(chǎn)拓?fù)潢P(guān)系多來(lái)源信息在融合后統(tǒng)一匯總和監(jiān)控，形成統(tǒng)一的資產(chǎn)環(huán)境狀態(tài)畫像不止梳理資產(chǎn)名錄，更需要摸清環(huán)境與地形 主被動(dòng)結(jié)合發(fā)現(xiàn)脆弱點(diǎn)威脅總是利用資產(chǎn)脆弱性來(lái)提權(quán)和橫移擴(kuò)散，通過(guò)分析資產(chǎn)脆弱性，結(jié)合資產(chǎn)的價(jià)值、綜合評(píng)估脆弱程度和攻擊影響，然在融合漏掃和EDR等多來(lái)源數(shù)據(jù)的基礎(chǔ)上，平臺(tái)基于漏洞關(guān)聯(lián)庫(kù)對(duì)應(yīng)用軟件、建立弱密碼知識(shí)庫(kù)和弱密碼檢測(cè)規(guī)則，基于NDR的全要素感知能力和探測(cè)模塊，實(shí)現(xiàn)弱密碼檢測(cè)的能力，對(duì)明文和密文的弱密碼進(jìn)行識(shí)別通過(guò)遙測(cè)數(shù)據(jù)分析資產(chǎn)的互訪情況，以便于對(duì)訪問(wèn)情況進(jìn)行控制，通過(guò)指定時(shí)間窗口可快速對(duì)資產(chǎn)通信情況進(jìn)行溯源能夠監(jiān)控資產(chǎn)的應(yīng)用配置和策略配置情況，對(duì)其中違規(guī)配置或異常配置進(jìn)行處置威脅長(zhǎng)期潛伏，需要主動(dòng)發(fā)現(xiàn)終端場(chǎng)景檢測(cè)服務(wù)器場(chǎng)景檢測(cè)基線上下文可靈活拓展++++不止是設(shè)備警報(bào)，更需要異常識(shí)別終端場(chǎng)景檢測(cè)服務(wù)器場(chǎng)景檢測(cè)基線上下文可靈活拓展++++單一設(shè)備和系統(tǒng)對(duì)威脅的識(shí)別往往是有局限的，而威脅往往會(huì)采用繞過(guò)防御設(shè)施、且長(zhǎng)期潛伏的特點(diǎn)，因此需要在更上層的視角識(shí)通過(guò)融合端點(diǎn)、流量、用戶行為等數(shù)據(jù)，面向各類典型安全場(chǎng)景，對(duì)行為特征、離群行為、生僻對(duì)象以及行為上下文進(jìn)行檢測(cè)以身份異常場(chǎng)景檢測(cè)身份異常場(chǎng)景檢測(cè)面向Windows等辦公PC面向Windows等辦公PC環(huán)境，基于系統(tǒng)日志的檢測(cè)分析，對(duì)內(nèi)網(wǎng)穿透、橫向滲透等異常違規(guī)或安全威脅進(jìn)行持續(xù)監(jiān)控注的安全點(diǎn)，而大多問(wèn)題都出現(xiàn)在身份的盜用和濫用 特征細(xì)分場(chǎng)景的多類檢測(cè)識(shí)別手段流量威脅及異常場(chǎng)景檢測(cè)流量威脅及異常場(chǎng)景檢測(cè)脅和異常檢測(cè)能力，對(duì)異常命令執(zhí)行和命令注測(cè)能力，如分布式掃描、可疑外聯(lián)、弱口令攻擊、漏洞攻擊等，強(qiáng)化流量側(cè)識(shí)別能力網(wǎng)站及業(yè)務(wù)系統(tǒng)場(chǎng)景檢測(cè)網(wǎng)站及業(yè)務(wù)系統(tǒng)場(chǎng)景檢測(cè)平臺(tái)具備良好的可拓展性，可通過(guò)在線配置或規(guī)則包導(dǎo)入的形式動(dòng)態(tài)拓展新規(guī)則平臺(tái)具備良好的可拓展性，可通過(guò)在線配置或規(guī)則包導(dǎo)入的形式動(dòng)態(tài)拓展新規(guī)則徑遍歷/WEB漏洞攻擊/路徑穿越等風(fēng)險(xiǎn)檢測(cè)，且融合WEB掃描設(shè)備對(duì)網(wǎng)站安全全方位監(jiān)控上下文特征不止是設(shè)備警報(bào)，更需要異常識(shí)別上下文特征攻擊方在攻擊時(shí)總會(huì)根據(jù)防御方的實(shí)際情況調(diào)整策略，而防守方如果僅采用被動(dòng)的防守策略，在長(zhǎng)期的對(duì)抗會(huì)出現(xiàn)能力差距，因此必須需要能夠根據(jù)實(shí)際環(huán)境、遭受威脅情況、威脅趨勢(shì)、動(dòng)態(tài)拓展和調(diào)整策略可動(dòng)態(tài)拓展規(guī)則與模型的分析引擎可動(dòng)態(tài)拓展規(guī)則與模型的分析引擎平臺(tái)具備良好的可拓展性，可隨時(shí)通過(guò)在線得益于對(duì)象化基礎(chǔ)，在分析配置時(shí)可以融合多種在大多數(shù)情況下也無(wú)需重復(fù)定義后續(xù)業(yè)務(wù)流程即可不止是設(shè)備警報(bào)，更需要異常識(shí)別安天威脅對(duì)抗運(yùn)營(yíng)平臺(tái)能夠結(jié)合本地運(yùn)營(yíng)情報(bào)/安天威脅情報(bào)平臺(tái)/第三方情報(bào)平臺(tái)，融合傳統(tǒng)威脅情報(bào)的廣度和預(yù)見(jiàn)性與運(yùn)營(yíng)情報(bào)的強(qiáng)針高命中率、高客戶價(jià)值對(duì)網(wǎng)內(nèi)發(fā)現(xiàn)的遠(yuǎn)控終端、有效提升網(wǎng)空威脅感知能力T.I.Data支持本地化嗎通過(guò)安天的威脅對(duì)抗運(yùn)營(yíng)平臺(tái)，可以有效提取事件中涉及的對(duì)象識(shí)別其行為，通過(guò)決策模型形成統(tǒng)一告警通過(guò)安天的威脅對(duì)抗運(yùn)營(yíng)平臺(tái)，可以有效提取事件中涉及的對(duì)象識(shí)別其行為，通過(guò)決策模型形成統(tǒng)一告警通過(guò)上下文的自動(dòng)循線調(diào)查和多渠道拓線分析，串接威脅活動(dòng)鏈路，還原威脅全貌設(shè)備上報(bào)的事件和分析模型輸出的事件如果仍然零散的分散于多個(gè)模塊內(nèi)的話，在多個(gè)頁(yè)面來(lái)回的切換顯然會(huì)占用分析人員大量的時(shí)間和記憶成本，難以為分析人員提供快速的洞察，無(wú)法有效驅(qū)動(dòng)威脅的監(jiān)控和響應(yīng)Page21基于對(duì)象化風(fēng)險(xiǎn)描述形式通過(guò)決策模型抽取對(duì)象基于對(duì)象化風(fēng)險(xiǎn)描述形式通過(guò)決策模型抽取對(duì)象告警策略&白名單規(guī)則環(huán)境信息&檢測(cè)信息&…文件信息&證書信息Cert協(xié)議信息…流量威脅抽取示意歸類告警在真實(shí)環(huán)境下可降低98%以上重復(fù)或相似告警安天通過(guò)數(shù)據(jù)標(biāo)準(zhǔn)預(yù)定義事件結(jié)構(gòu)及依賴字段，分求即可錄入對(duì)應(yīng)事件用戶可以自行配置哪些風(fēng)險(xiǎn)類型進(jìn)行告警、調(diào)整告警歸并周期，也可以通過(guò)組合條件的白名單策略進(jìn)行細(xì)粒度過(guò)濾告警j將涉及對(duì)象按攻擊方、受害方、攻擊工具/載荷的維度進(jìn)行描述和歸類，覆蓋對(duì)象類型包括：郵件地址、用戶、通信節(jié)點(diǎn)(IP)、終端資產(chǎn)等，對(duì)象類型且可以靈活拓展得益于對(duì)象化的基礎(chǔ)平臺(tái)對(duì)各類對(duì)象形成了本地知識(shí)庫(kù)和信息卡，記錄對(duì)象信息、活動(dòng)情況、涉及資產(chǎn)情況以及風(fēng)險(xiǎn)情況，以便于快速追溯事件零散分布，需要理清脈絡(luò)單一的威脅點(diǎn)不易于理解且缺少上下文，在高威脅對(duì)抗的場(chǎng)景下仍然會(huì)導(dǎo)致信息過(guò)載。因此需要基于對(duì)象進(jìn)行關(guān)聯(lián)，按需調(diào)度設(shè)備 不止關(guān)注單一威脅，更需要關(guān)聯(lián)全局?jǐn)?shù)據(jù)依據(jù)事件中涉及對(duì)象及其之間的作用關(guān)系，關(guān)聯(lián)串接事件鏈路 執(zhí)行體關(guān)注生僻/可疑執(zhí)行體 執(zhí)行體關(guān)注生僻/可疑執(zhí)行體在全局、業(yè)務(wù)分組內(nèi)關(guān)聯(lián)生僻和可疑行為的執(zhí)行體信息，例如生僻應(yīng)用、生僻簽名等，串接多端，確定影響范圍。 流量串接端與端的通信鏈路基于地形通聯(lián)情況和安天NDR的全要素信息留存，能夠有效串接端與端之間的可疑和惡意通信鏈路 基于統(tǒng)一身份認(rèn)證和業(yè)務(wù)系統(tǒng)的身份信息關(guān)聯(lián)串接行為鏈路 不止關(guān)注已知表象，更需要挖掘潛在問(wèn)題通過(guò)全局的對(duì)象知識(shí)、結(jié)合分析資源調(diào)度，拓展線索 ?執(zhí)行體特征：相同簽名、相同編譯路徑?執(zhí)行體特征：相同簽名、相同編譯路徑…?賬號(hào)身份特征：相似用戶名、相同平臺(tái)…?通信地址特征：相似網(wǎng)絡(luò)地址、相同運(yùn)營(yíng)商…?業(yè)務(wù)特征：相似域名、親屬域名 遠(yuǎn)端主機(jī)鑒定調(diào)度分析資源 同時(shí)間窗內(nèi)相似可疑行為 同時(shí)間窗內(nèi)相似可疑行為依托于全要素流量信息和系統(tǒng)的遙測(cè)數(shù)據(jù)，對(duì)相同時(shí)間窗口內(nèi)的威脅進(jìn)行關(guān)聯(lián)沙箱：動(dòng)態(tài)鑒定依托于全要素流量信息和系統(tǒng)的遙測(cè)數(shù)據(jù)，對(duì)相同時(shí)間窗口內(nèi)的威脅進(jìn)行關(guān)聯(lián)?執(zhí)行體行為特征：相似命令行……?流量特征：相似參數(shù)…?系統(tǒng)特征：敏感路徑操作…Page23關(guān)聯(lián)全局?jǐn)?shù)據(jù)關(guān)聯(lián)全局?jǐn)?shù)據(jù)挖掘潛在問(wèn)題威脅研判定性威脅研判定性事件零散分布，需要理清脈絡(luò)關(guān)聯(lián)全局?jǐn)?shù)據(jù)關(guān)聯(lián)全局?jǐn)?shù)據(jù)挖掘潛在問(wèn)題威脅研判定性威脅研判定性通過(guò)多種方式串接事件鏈的基礎(chǔ)上，結(jié)合空間和時(shí)間維度對(duì)事件鏈路進(jìn)行切片，通過(guò)威脅對(duì)象百科和ATT&CK威脅框架為對(duì)威脅進(jìn)行多維度支持根據(jù)對(duì)象快速檢索歷史數(shù)據(jù)，研判后平臺(tái)會(huì)向前自動(dòng)化追溯歷史F固化研判知識(shí)為本地情報(bào)，平臺(tái)會(huì)向前自動(dòng)化進(jìn)行追溯、向后持續(xù)監(jiān)控惡意或可疑對(duì)象的活動(dòng)F能夠自動(dòng)化地或人工執(zhí)行處置策略，及時(shí)對(duì)威脅進(jìn)行處置能夠自動(dòng)化地或人工執(zhí)行處置策略，及時(shí)對(duì)威脅進(jìn)行處置Page24設(shè)備系統(tǒng)眾多，需要統(tǒng)籌策略Page26設(shè)備系統(tǒng)眾多，需要統(tǒng)籌策略 策略管理的困境?不知道這個(gè)終端是做什么的，承載了什么業(yè)務(wù)，封這個(gè)端口會(huì)不會(huì)把業(yè)務(wù)宕機(jī)?設(shè)備報(bào)了漏洞攻擊，不知道終端實(shí)際有沒(méi)有漏洞 策略管理必須結(jié)合環(huán)境和地形策略管理必須結(jié)合網(wǎng)空地形和環(huán)境信息，才能有效定位處置策略下發(fā)點(diǎn)通過(guò)安全編排與自動(dòng)響應(yīng)模塊可有效解決風(fēng)險(xiǎn)治理的抵近問(wèn)題，結(jié)合對(duì)別，能夠?yàn)橛脩籼峁┛赏卣沟淖詣?dòng)化威脅分析和響應(yīng)能力，提高安執(zhí)行體(靜態(tài))啟動(dòng)項(xiàng)向量特征執(zhí)行體(動(dòng)態(tài))資產(chǎn)服務(wù)全局策略基于環(huán)境屬性的策略管控網(wǎng)絡(luò)終端誘捕分析探測(cè)流量采集和元數(shù)據(jù)化單元主機(jī)側(cè)采集和元數(shù)據(jù)化單元對(duì)象處置單元場(chǎng)景模擬構(gòu)建單元執(zhí)行體執(zhí)行體(靜態(tài))啟動(dòng)項(xiàng)向量特征執(zhí)行體(動(dòng)態(tài))資產(chǎn)服務(wù)全局策略基于環(huán)境屬性的策略管控網(wǎng)絡(luò)終端誘捕分析探測(cè)流量采集和元數(shù)據(jù)化單元主機(jī)側(cè)采集和元數(shù)據(jù)化單元對(duì)象處置單元場(chǎng)景模擬構(gòu)建單元執(zhí)行體靜態(tài)分析單元重載掃描單元應(yīng)用層邊界執(zhí)行控制單元策略調(diào)整單元端口和業(yè)務(wù)仿真單元執(zhí)行體動(dòng)態(tài)分析單元爬取單元鏈路層邊界介質(zhì)管控單元主機(jī)應(yīng)用行為管控單元情報(bào)生產(chǎn)單元執(zhí)行體多引擎鑒定單元分布式輕載掃描/無(wú)損掃描單元業(yè)務(wù)層邊界通訊層邊界主機(jī)側(cè)防火墻單元修復(fù)與更新單元日志提取單元執(zhí)行體定點(diǎn)查殺信標(biāo)/向量查詢單元停止進(jìn)程暴露面管控脆弱性管控 確定處置對(duì)象網(wǎng)站域名遠(yuǎn)端終端業(yè)務(wù)身份注冊(cè)表簽名供應(yīng)商… 基于資產(chǎn)及環(huán)境的批量策略管理組策略組策略 確定處置策略定位執(zhí)行單元執(zhí)行體動(dòng)態(tài)分析網(wǎng)絡(luò)封堵執(zhí)行體靜態(tài)分析身份停用執(zhí)行體多引擎鑒定權(quán)限限制執(zhí)行體情報(bào)鑒定信標(biāo)向量情報(bào)鑒定重定向流量限制環(huán)境仿真業(yè)務(wù)仿真執(zhí)行體全網(wǎng)追溯隔離執(zhí)行體等攔截/限制行為應(yīng)用管控隔離終端Page27不止聯(lián)動(dòng)下發(fā)策略，更需要精細(xì)化處置 可拓展處置腳本 可自定義的場(chǎng)景化處置劇本可根據(jù)業(yè)務(wù)場(chǎng)景靈活自定義處置劇本，劇本支持查詢、調(diào)度、策略Pag