平台概述
贝为XDR是一种安全威胁检测和事件响应平台,通过原生的流量采集工具与端点采集工具将关键数据聚合在XDR平台,通过网端聚合分析引擎、上下文关联分析,实现攻击链深度溯源,结合贝为soc服务提供托管式安全检测与响应服务,释放人员精力。同时具备可扩展的接口开放性,协同贝为SOAR等产品,化繁为简,带来深度检测、精准响应、持续生长的安全效果体验。
核心优势
容器安全
Docker 可自动在软件容器内部署不同的应用程序。 Docker 的 贝为xdr 模块可以实时识别跨容器的安全事件并发出警报。
检测可疑二进制文件
贝为xdr具有异常和恶意软件检测功能,可以检测端点上的可疑二进制文件。二进制文件是为执行自动化任务而编写的可执行代码。恶意行为者主要利用它们来进行利用以避免被发现
文件完整性监控
文件完整性监控 (FIM) 有助于审核敏感文件并满足法规遵从性要求。 贝为xdr 有一个内置的 FIM 模块,可以监视文件系统更改以检测文件的创建、修改和删除
阻止已知的恶意行为者
使用 IP 信誉数据库,其中包含一些恶意行为者的 IP 地址。 IP 信誉数据库是已标记为恶意的 IP 地址的集合,配置 贝为xdr 以阻止端点访问 Web 服务器上的 Web 资源 xx 秒。这是阻止攻击者继续进行恶意活动的一种方法。
终端命令监控
贝为xdr命令监控功能在端点上运行命令并监控命令的输出
检测暴力攻击
暴力破解是威胁行为者用来获取对端点和服务的未经授权的访问的常见攻击媒介。 Linux 端点上的 SSH 和 Windows 端点上的 RDP 等服务通常容易受到暴力攻击。贝为xdr通过关联多个身份验证失败事件来识别暴力攻击
网络入侵检测/防御
贝为xdr与基于网络的入侵检测系统 (NIDS) 集成,通过监控网络流量来增强威胁检测和主动拦截恶意流量
检测 SQL 注入攻击
贝为xdr 从包含 select、union 和其他常见 SQL 注入模式等模式的 Web 服务器日志中检测 SQL 注入攻击
检测删除恶意文件
贝为文件完整性监控 (FIM) 模块用于监控目录的更改,病毒库API 用于扫描目录中的文件。触发主动响应脚本并删除病毒库检测为恶意的文件
漏洞检测
贝为xdr使用漏洞检测器模块来识别端点上运行的应用程序和操作系统中的漏洞
检测rootkit隐藏进程
贝为xdr使用自己的Rootkit签名数据库来执行特定的检查。这些签名基于已知的Rootkit特征和模式,有助于快速识别和定位潜在的Rootkit感染
监控恶意的命令执行
在端点上配置 Auditd 以考虑给定用户执行的所有命令。这包括用户在 sudo 模式下或更改为 root 用户后运行的命令。您可以配置自定义 贝为xdr规则来针对可疑命令发出警报。
检测 Shellshock 攻击
贝为xdr能够通过分析从受监控端点收集的 Web 服务器日志来检测 Shellshock 攻击
攻击溯源
精准定位攻击提高对未知威胁、隐蔽攻击的检出率,还通过充分的溯源举证,大幅提高安全事件的准确度,帮助安全团队做出判断,高效处置
实时大数据分析
基于终端、网络、应用的实时安全事件分析、预警、通知及主动响应
应用场景
安全运营场景
精准响应:通过网端聚合分析技术解决原有海量告警导致运营人员疲劳、安全问题难闭环的困难,自动化根因分析和高度攻击可视化大大压缩了溯源时间,帮助运营人员快速定位问题根源,深度狩猎高级威胁,有效应对攻防对抗加剧带来新的安全风险。
风险管理:ASM攻击面管理从被动事件响应转向有计划的主动风险管理,帮助企业防患于未然。
简单有效:智能推荐处置对象,并且根据不同攻击提供精准、专业的响应操作建议,处置威胁简单有效。
攻防实战对抗场景
检测深度:更精准的高级威胁检测和安全事件溯源能力。
检测广度:拥有丰富的数据,包括事件完整的上下文信息、原始报文等供用户深度挖掘;新型 IT 基础设施和业务的威胁数据采集。
敏捷响应:可进行快速响应、加固优化安全措施、攻击反制。
持续生长:可通过 API 接口与 贝为SOC、贝为SOAR 等对接。