网络安全产品---态势感知&EDR

态势感知

what

SA,Situational Awareness

是对一定时间和空间内的环境元素进行感知,并对这些元素的含义进行理解,最终预测这些元素在未来的发展状态。

why

安全防护思想已经从过去的被动防御向主动防护和智能防护转变。如果不做到主动防御很难应对APT(高级持续性威胁)

  • 安全建设的目标从满足合规转变为增强防御和威慑能力

  • 攻击检测的对象从已知威胁转变为未知威胁,通过大数据分析、异常检测、态势感知、机器学习等技术,实现对高级威胁的检测。

  • 对威胁的响应从人工分析并处置转变为自动响应闭环,强调应急响应、协同联动,实现安全弹性。

how

态势感知的三要素即感知、理解和预测

利用大数据分析技术,态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析,为用户呈现出全局安全攻击态势。(DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制等)

通过威胁地图直观展示在全球范围内面临的威胁和最近发现的威胁事件,便于管 理者能及时发现威胁,预判全网安全走势。提升网络态势监控、威胁分析、日常运维、事件处置等安全能力建设水平

SA与其他安全服务的关系与区别

SA本身不做具体的安全防护行为,而是作为安全管理服务,依赖于其他安全服务提供威胁检测数据以及安全防护设备日志等信息,进行安全威胁风险分析,呈现全局安全威胁态势,并提供防护建议。

其他安全服务将检测到的危险数据处理的同时,将这些数据同一汇集在SA呈现全局态势

同ERD区别与联系

(Endpoint Detection and Response,端点检测和响应),在端点设备安装轻量级数据收集工具或代理来收集数据,针对端点设备的恶意活动,基于安全团队设置的预定义规则,或者机器学习算法随着时间的推移学习,来实现自动响应。

按我的理解EDR就是传统pc杀毒软件+主动防御(事先监控阻断未知威胁)+可以被统一监管与设置个性化安全策略

联系

  1. 数据源:EDR和动态感知都依赖于各种数据源来进行安全事件分析和检测。EDR主要依赖于终端设备上的数据源,如注册表、日志、网络连接等;而动态感知主要依赖于网络流量数据、入侵检测系统(IDS)警报、威胁情报等数据。

  2. 分析方法:EDR和动态感知都使用先进的分析方法来检测和响应安全事件。EDR常使用行为分析、异常检测和威胁情报比对等方法;而动态感知常使用流量分析、机器学习、行为模型等方法。

  3. 综合安全:EDR和动态感知可以结合使用,提供更综合的终端和网络安全保护。通过集成EDR和动态感知,可以实现从终端到网络的全面威胁检测和响应,提高整体安全防御能力。

以上仅从单一方面介绍了SA的基本情况

具体参考

成长地图_态势感知 SA (huaweicloud.com)

(eBook)网络安全态势感知 - 华为 (huawei.com)

相关推荐
wang090722 分钟前
网络协议之为什么要分层
网络·网络协议
用户3521802454751 小时前
Burp Suite-使用本地文件作为响应内容
安全·逆向
G扇子1 小时前
深入解析XSS攻击:从原理到防御的全方位指南
前端·安全
EasyDSS1 小时前
EasyCVR视频汇聚平台助力大型生产监控项目摄像机选型与应用
网络·人工智能·音视频
w23617346012 小时前
HTTP vs HTTPS:传输协议的安全演进与核心差异
安全·http·https
kaamelai2 小时前
Kaamel视角下的MCP安全最佳实践
大数据·人工智能·安全
用户3521802454752 小时前
upload-labs靶场通关-01~10
安全
等猪的风2 小时前
openwrt作旁路由时的几个常见问题 openwrt作为旁路由配置zerotier 图文讲解
运维·服务器·网络
浩浩测试一下2 小时前
网络安全实战指南:从安全巡检到权限维持的应急响应与木马查杀全(命令查收表)
linux·安全·web安全·ubuntu·网络安全·负载均衡·安全架构
千码君20163 小时前
什么是数据链路层的CRC检测以及为什么要放到帧尾?
服务器·网络·网络协议·以太网·奇偶校验·crc检测·以太网帧