综合威胁探针(UTS)
综合威胁探针(NSFOCUS UTS),是一款面向全行业的全流量威胁检测探针,运用规则引擎、虚拟沙箱、威胁情报、机器学习等技术,具备识别广泛、检测精准、互联互通的特点,可面向不同场景检测和分析高级威胁,回溯安全事件。
产品概述
统一威胁探针(简称 UTS):集 IDS、WAF、威胁情报和全流量行为日志于一身,支持对接第三方大数据平台的多功能融合探针。UTS 集成了IDS、WAF 和威胁情报的检测能力,能快速精准的发现威胁,利用自身的策略对攻击者进行封堵,极大的提高了重大事件的响应速度。 UTS 采用旁路镜像模式接入到用户网络中,进行流量采集解析、存储、文件还原和威胁 检测。此外 UTS 还能与大数据分析平台进行联动,将检测结果以及元数据汇总到大数据分析平台进行综合分析、研判和展示。
产品价值
功能特性
丰富的检测手段,精度高
除内置入侵检测、web检测等规则引擎外,具备多重高级威胁检测引擎,如威胁情报,钓鱼邮件检测,DGA域名检测,隐蔽隧道检测等,精准发现C&C通信,挖矿行为,勒索病毒,及APT攻击威胁。支持文件动态检测,不依赖已知攻击特征的虚拟执行技术,具备操作系统层面的检测能力和内存指令级分析,发现各种攻击和逃逸行为。
加密流量检测,识别加密威胁
应用机器学习算法,针对旁路镜像流量,通过数据处理、特征工程、模型训练、情报融合等手段,提供可落地的加密流量检测与识别方案,解决不解密进行加密流量检测的问题。具备高精度、高性能的特点,同时支持多个应用场景,可精确识别Tor、shadowsocks、v2ray等加密代理工具,以及冰蝎、哥斯拉、蚁剑等加密webshell黑客工具。
敏感数据发现,监控数据风险
实时监控流量中协议、文件、数据库传输敏感数据的传输行为,如个人、企业单位的敏感数据信息等,防止敏感数据泄露,满足数据合规按要求。支持流量中识别API接口、API资产管理、API风险识别等,实时检测针对API接口的威胁或异常行为,及时发现和处置安全风险。
①精准发现高级威胁
内置多重检测引擎,包含入侵检测、web安全检测、加密流量检测、恶意文件检测、动态沙箱、5G检测、异常行为检测、威胁情报等,精准发现不同场景下的高级威胁。
②及时回溯和取证
全面的威胁回溯和取证能力,除存储全流量和告警日志以外,还支持基于会话的全流量存储和恶意流量存储,通过日志和原始PCAP包,能实锤攻击事件,及时威胁取证。
③灵活对接第三方平台
支持灵活可定义的日志插件,支持市面上主流的接口协议,增强客户全流量检测分析的能力。
产品优势
成功案例
某大型央企APT检测
客户需求:基于GFYL中暴露出的各类安全问题,在已部署等保安全设备的基础上,仍需补充安全检测类设备或软件(如APT威胁监测),强化基础设施安全。
解决方案:分支核交旁挂高性能UTS对现网流量进行实时检测和文件分析,快速发现APT事件定位失陷资产,缩短响应时间。
客户价值:快速研判、定位威胁事件,辅以异常行为记录,增强APT威胁检测能力。
某省运营商5GC全流量威胁检测
客户需求:面临5GC核心网的安全威胁,通过全流量威胁分析设备检测信令面和管理面的流量,实现100Gbps的流量采集和分析,对网络攻击精准检测,对受害目标及攻击源头精准定位,最终达到对入侵途径及攻击者的研判与溯源,有效提升网络安全持续防护能力,确保5G业务开展。
解决方案:依托UTS识别5GC信令面和管理面协议及5GC威胁检测的能力,结合ISOP安全运营平台和威胁情报服务,组成5GC全流量威胁检测方案。接入5GC核心网流量,对流量进行全面的威胁检测。
提高威胁发现能力
UTS融合多款检测产品,拥有多种检测手段,支持传统威胁检测(覆盖入侵行为检测和WEB攻击检测)和高级威胁检测(覆盖恶意代码检测和 APT事件)。
UTS融合IDS、WAF、威胁情报和恶意文件等系统的检测能力,可对接第三方SIEM平台,满足用户多期建设需求,无需多次购买单检测类型硬件设备。此外UTS不仅拥有硬件版本还支持软件部署,用户可自配硬件资源。
降低采购成本
UTS支持全流量采集和存储,用户在发现威胁后可对威胁相关的元数据进行检索获取攻击的上下文信息,同时支持对相关pcap进行提取作为物证。
提升威胁回溯分析和取证能力
UTS支持旁路阻断,在发现威胁后可根据策略自动阻断攻击者,同时对外提供一键封堵接口,在平台上也能立即响应处置。
缩短威胁响应处置时间
