微步在线简介

threatbook introduction

微步在线成立于 2015 年 7 月,提供专业的威胁检测产品与服务,致力于成为企业客户的威胁发现与响应专家。公司自成立初始便专注于威胁情报领域,积累了深厚的威胁分析能力,已将情报数据能力和分析能力通过专业易用的产品赋能给客户,帮助企业建立全方位的威胁监控体系。

微步在线获得的荣誉

Honor gained
  • 《全球威胁情报市场指南》

    连续三次入选Gartner《全球威胁情报市场指南》的中国厂商

  • 鲱鱼亚洲100强

    入选红鲱鱼亚洲100强企业

  • 全球网络安全500强

    入选Cyber Security Ventures 《2017-2019年全球网络安全500强》

基于微步在线安全云的产品和服务体系

Online security cloud products and services

威胁感知平台

Threat Detection Platform - TDP

微步在线威胁感知平台 ( 以下简称 TDP) 通过情报驱动的威胁感知内核与紧贴甲方视角的风险分析模块,支持对双向全流量进行深度分析,能够全面发现网络威胁,实时判定成功攻击,精准定位失陷主机,并提供基于终端和流量的处置闭环能力;同时,通过非侵入方式梳理资产与服务,识别潜在风险暴露面。对安全团队掌控全网态势,发掘隐藏风险,聚焦真实威胁,加强联动能力,提升运营效率提供有力支撑。

聚焦真实威胁

  • 利用威胁情报、特征分析、人工智能技术,精准发现网络中的被控主机

  • 深度研判流量载荷,自动判定是否"攻击成功"无需人工排查海量日志

  • 自动化识别有目的性的攻击了解黑客的攻击意图

被动资产发现

  • 简单

    无需安装任何软件,无需进行任何扫描,不影响网络拓扑结构,通过被动监听流量识别发现资产

  • 精细

    自动识别端口、服务、应用名称和版

  • 辅助管理

    智能判定应用是否对外开放,协助梳理和验证管理策略

自动化处置闭环

  • 根据情报、攻击判定,自动阻断后续攻击

  • 联动第三方安全设备,打通处置流程

  • 与TDP Agent配合 ,自动化定位恶意程序和执行过程

核心功能

Core functions
  • 精准威胁检测,识别外部成功攻击、
    梳理内网渗透态势、 定位内部失陷主机。

    TDP通过对全流量日志以及告警原始流量包记录,采用分级存储策略,为企业提供攻击行为丰富的上下文信息;通过双向流量检测,精准识别外部成功攻击;利用可视化技术,多维度多视角地呈现威胁态势;依赖于全球最新的威胁情报数据能力和微步在线专业的威胁分析,精确定位内网中的失陷主机。

  • 全面梳理资产
    识别风险暴露面

    TDP通过流量监听来对企业业务资产进行识别,帮助企业了解自身资产的暴露情况,并能够针对性做出合理管控; 通过实时检测模块,监测企业对外开放登录后台的访问,企业内外部的弱口令,API的异常使用情况以及企业内外部的文件传输行为,帮助企业了解风险点。

  • 网络 + 端点的联动处置
    消除威胁

    安全团队可通过网络告警中丰富的威胁情报上下文,辅助处置决策。平台支持对外部威胁进行阻断;并提供和平台联动的终端工具,以便于定位恶意进程,阻断网络访问,自动化清理流行恶意软件。

本地威胁情报管理平台

Threat Intelligence Platform - TIP

本地威胁情报管理平台(以下简称 TIP)是国内首个本地威胁情报管理分享平台。主要用于整合多源情报,实现统一管理与共享;帮助企业进行本地私有化情报生产,实现情报关联分析与深度挖掘;与现有安全系统集成,提升威胁感知与响应能力三大场景。

核心功能

Core functions

客户典型的使用场景

与态势感知平台对接

  • 与态势感知、DNS日志、外部防火墙或WAF对接,快速感知内部失陷主机,阻断外部攻击来源IP

  • 有效降低现有大量误报造成的“告警噪音”,利用威胁情报对告警事件进行过滤、筛选和优先级排列,并丰富事件上下文数据,提高安全设备的检测和分析能力

办公网场景

  • 通过对接办公网DNS日志和与出口防火墙联动,快速感知并阻断内部失陷主机

  • 无需庞大而漫长的建设周期,小而美的实现办公环境失陷感知与响应,全程无需人工干预,响应速度压缩到秒级

典型案例

现已服务数百家客户,行业覆盖能源、证券、银行、政府、互联网、制造业等。