1.海量数据采集与存储:支持国内外数十家厂商的上百种常见设备的自动解析、过滤、富化、内容转译、归一化,支持通过syslog、db、snmp、netflow、api接口、镜像流量、文件等多种采集方式。
2.威胁情报:基于奇安信在威胁情报领域独有的数据优势和技术优势,将云端大量的情报经过专业团队层层筛选后,将最有价值的失陷情报源源不断的推送至ngsoc,并将其应用于关联分析、日志匹配等场景。
3.机器学习:机器生产dga域名,其广泛应用于勒索软件、僵尸网络、远控木马。通过机器学习中一种基于自动对数据进行表征学习的方法,无需人工提取特征。基于海量的域名样本。通过有监督式特征学习和分层特征提取高效算法来发现恶意域名。在真实客户场景中通过dga检测域名检测技术成功发现多起apt事件和勒索病毒,准确率99.94%,检出率96%。
4.威胁建模:搭载分布式流式关联分析引擎sabre,提供多元异构数据关联分析、灵活威胁建模、丰富的告警上下文信息展示及分布式横向扩展能力,已获得数十个相关专利。
5.全流量检测:通过全流量检测技术,可还原数十种网络协议,对失陷主机,网络入侵,网络病毒,异常流量、ddos攻击等进行精准检测。
6.态势感知:ngsoc可提供11个展示内网态势感知的大屏视图:全网脆弱性态势、资产态势、威胁预警态势、攻击者态势、综合安全态势、安全运营态势、外部威胁态势、内网威胁态势、资产风险态势视、业务资产外连态势、攻防演练态势,分别从不同的安全运营角度对网络安全态势进行呈现。
7.威胁预警:当出现重大网络安全事件时,通过下发威胁预警包,帮助用户第一时间掌握是否遭受到攻击,失陷的设备包括哪些,业务是否受到影响,网络攻击走向,如何应急处置。
8.资产风险管理:通过结合资产价值、脆弱性信息、威胁信息,对全网资产进行风险评估,量化风险指标,帮助用户更好了解和掌控安全风险,为用户提供有力的决策支撑。
9.持续检测:通过从宏观到微观的分析思路,基于平台强大的pb级数据查询和关联分析能力,采用强大的流式关联分析能力,结合丰富的内置bi组件用于自定义可视化视图,将威胁以安全人员的处置视角完美呈现在监控面板和分析面板之上,有助于分析人员持续监控威胁、发现线索、下钻分析,从而极大提升了企业威胁可视及处置的能力和效率。
10.异常行为分析:将奇安信多年在客户侧积累的多个重点场景通过场景化视图直观呈现给用户,针对于企业客户经常遇到的一些安全场景,平台进行了重点抽象,并且把它做成了一个内置的一个整体的分析场景,如内网安全、安全账号安全、异地登陆安全等一些常见场景,辅助安全运营/分析人员进行综合判断,提升处置效率。
