4008-232-911

产品概述

作为业内专业的黑客活动痕迹取证系统,睿眼·主机取证溯源系统对黑客恶意活动进行更深度的检测,具备高精准的恶意软件(含病毒、木马及黑客工具)识别能力,可有效发现隐蔽性强、危害较大的高级持续性威胁(APT),同时通过自动化检测黑客入侵痕迹、分析黑客线索、还原黑客攻击手法等,让普通安全人员能够具备取证溯源专家水平.

核心功能

1全面检测入侵痕迹

检测范围全面,涵盖操作系统的各个方面,包括文件系统(包括webshell等)、注册表、内存进程、主机缺陷、系统项、定时任务、系统日志、应用日志、用户痕迹、网络流量、系统固件、系统内核等,同时通过多维检测模型和主线间上下文联动分析、威胁情报、事件溯源、快照比对技术,发现黑客在主机的恶意活动.

2检测发现高级持续性威胁(APT)

高级持续性威胁(APT)攻击具有高度目的性、隐蔽性、危害性、持续性等特点。睿眼·主机针对APT攻击的特点和阶段,设计多重入侵痕迹模型,全面覆盖攻击矩阵涉及的策略和技术,全面采集各项指标数据与数千种攻击模型自动匹配,并结合威胁情报、关联分析、专家视角、黑客溯源、攻击链分析等技术,更深入地检测发现主机中潜藏的安全风险和高级威胁入侵痕迹.

3安全基线快照对比

睿眼·主机将采集到的数据汇总后统一分析,支持多主机对比分析及基于时间基线的单主机对比分析。通过多主机对比分析,可快速定位稀有程序和目录,同时减少误报。而通过对同一台主机建立基线,多次采集数据并对比分析,可快速锁定异常数据,发现未知威胁.

4专家模式筛查线索

专家模式相当于对受检主机做系统运行时态快照,为后续主机威胁线索深入挖掘、快照对比提供基础,其中包含主机信息、文件系统、启动项、内存、网络、用户痕迹、事件日志、注册表、已安装软件、本地账户、时间轴事件、信息类规则等信息,且支持灵活搜索.

5关联分析追踪溯源

综合采集的各项数据,利用威胁情报、大数据分析、黑客指纹档案库、攻击链分析等技术手段,对黑客行为进行关联分析和深度解析,同时溯源黑客入侵事件,以黑客视角将各个碎片化但具备关联性的攻击痕迹串联起来,按照时间维度还原攻击过程,并结合威胁情报对黑客背景进行追踪,溯源其身份.

6智能适配应用场景

智能识别主机应用场景,并根据主机资源利用情况、业务部署类型等,合理调整采集策略,同时智能分析主机文件分布、归纳总结主机文件、快速定位可疑文件,保障采集结果快速有效.

7自动生成溯源报告

数据采集上传后,睿眼·主机分析端自动分析并生成简单易懂的取证溯源报告,内容包括主机安全状态结论,文件系统、内存、启动项、注册表等检查信息,并支持报告导出。对于存疑主机,用户可导出报告发送给取证溯源专家,远程获取更专业的技术支持.

优势特色

绿色运行免安装

睿眼·主机采集端主要用于搜集数据,体积小、免安装、绿色运行,不改变系统任何配置,同时资源占用低,且支持灵活控制资源占用,不影响系统性能,可事后即删、安全可靠,真正做到方便快捷、无痕采集,用户体验好.

发现潜藏威胁

相比常见的防病毒解决方案,睿眼·主机具有更强大的恶意软件识别能力,可精准识别病毒、木马、黑客工具等恶意软件,同时更专注攻击者活动的检测,发现主机中隐匿的APT攻击及未知威胁.

自动溯源分析

利用网络攻击溯源技术,全自动地将碎片化安全事件线还原成完整的攻击链,全面还原攻击事件及其背景,快速定位攻击源头并提供详细分析报告。通过自动化替代,普通安全人员也可具备专家分析水平,解决安全专家稀缺的问题.

快速应急响应

通过自动化溯源分析,将取证溯源时间缩短到小时级,同时支持多台主机批量采集与分析,对海量主机进行批量风险排查,帮助安全分析人员大幅提升主机应急响应效率,有效控制网络攻击事件扩散和影响范围.

远程专家服务

通过提供睿眼·主机导出的报告及采集端文件压缩包,用户可远程便捷地获取更专业的专家支持,对安全事件进行深度溯源分析,包括对攻击者身份、背景、活动过程、目的及影响等进行评估,适用于高级持续性威胁(APT)攻击事件应急后的溯源分析.

兼容性强场景多元

兼容市面上主流的windows操作系统和庞大的Linux系统分支、版本分支,可灵活适配多种安全场景,包括大型企业和监管部门日常对海量主机批量进行风险检查、抽查、巡检,安全专家基于攻击线索进行快速取证溯源,网络部门对新入网主机进行准入检查等.

应用场景