东软NetEye终端安全监测服务

东软NetEye终端安全监测服务平台，通过全面持续的记录终端行为数据进行深度检测、分析、研究可赋予终端更为细致的终端威胁感知能力、更为精细对已知未知威胁的防御能力、更为海量的数据处理能力、更为精准的攻击溯源能力。在应对高级威胁的同时，通过可信的威胁分析平台、威胁情报分析、多层级响应机制，帮助用户快速处置终端安全问题，构建轻量级、智能化、响应快的下一代终端安全监测服务平台。

技术亮点

低资源占用的终端Agent程序

轻量级终端Agent程序对用户来说是无感知的，对系统资源占用较低。其融合威胁检测、数据采集和响应三大功能，避免安装过多的终端安全软件对用户系统造成影响。

基于内核模式的深度可见性检测      

在操作系统内核级别进行监视，既可确保对系统内所有活动完全可见，又能为持续性监测和记录终端活动提供可靠的数据来源。

智能的检测和分析手段

使用用户实体行为分析技术（UEBA，User and Entity Behavior Analytics）实现自动化的建模，可解决棘手的安全问题。将多个异常活动相互关联，可分析检测出多种高级威胁，以实现对已知和未知威胁的检测。

内网横向攻击的深度调查和感知

通过对终端数据进行集中管理、分布运算，可判断横向攻击的阶段活动，分析出攻击者的意图。在发现异常用户行为、用户异常行为等方面都具备了非常高的“命中率”。

提高事件的响应能力，缩短攻击的影响周期

建立在一个可信的威胁分析平台之上，基于此可对上下文关联事件做出指导性的响应，帮助用户快速对一个攻击进行调查，包括定义事件的真实性、事件的暴露和范围，提供精准修补。

支持私有云部署方式，满足国内大型企业的安全需求

私有云部署方式主要针对物理隔离的网络或者具有运维大型网络安全系统能力的大型集团用户。

终端免疫系统安全防护威胁

通过本地学习，产生本地文件基因信息数据库，且对系统尝试加载到内存准备执行的PE文件进行严格的基因偏离项筛查。通过此技术能实现在特殊应用环境（例如：长期运行的服务器、不能安装补丁的服务器、财务人员使用的终端环境中等等）中提供高等级的安全防护，减少不必要的威胁事件，以及精准的拦截黑白名单文件。

功能特性

系统进程检测

对进程信息和进程间的关系进行监控，能获取签名信息以及进程的指令、访问的文件、注册表信息、网络事件等。

主机行为检测

对操作系统的信息进行获取、CMD和POWERSHELL监控、脚本的检测、主机通信量以及流量、系统用户管理的行为等监控。

攻击威胁检测

对已知和未知的威胁进行检测，包括：恶意软件检测、黑域名、黑IP的检测；提供基于进程树方式对可以进程的行为分析，从而可以定位存在威胁的进程。

勒索攻击防护

针对勒索软件的攻击，终端AGENT程序行为识别和文件保护策略，可以实现恶意勒索软件的进程阻止。

告警管理

提供实时的威胁告警，可以自动执行针对已知和未知威胁的自动化修复和处理脚本，以降低事件影响范围。

资产管理

通过终端活动的深度可视化，实现资产遭受威胁风险的直观展示，以及威胁事件在组织内部的感染影响范围；可按照用户业务组织对终端进行分组以及批量管理。

终端免疫

在未安装杀毒软件、未对操作系统进行补丁升级的情况下避免服务器等重要资产遭受未知威胁的危害，其包括但不限于：勒索、挖矿、蠕虫等常见威胁。

文件扫描能力

可对终端上的未知文件进行扫描，其结果可通过全网文件与网内所有终端进行联动。一旦某一台终端发现已知/未知威胁，便可以让全网终端都接收到信息，有效的避免威胁在网内进行横向扩散。

威胁分析溯源

针对告警提供可视化的上下文关联，以还原攻击行为。

应用场景