端點惡意威脅鑑識系統
做企業的資安鑑識官
企業資安最後一道防線 ThreatSonar 幫您抓出電腦上的惡意程式
資安 / 入侵,永遠站在彼此的對立面!企業防守得越加嚴謹,駭客越會研發進階的技術,發展未知的入侵威脅。企業在明,駭客在暗,企業永遠在面對不知從何而來的駭客,不知如何入侵的攻擊!ThreatSonar 善用 AI 運算從以往經驗及情資,標註可疑資安事件。幫助企業檢測內部的主機與設備,有效的發掘惡意程式,檢測未知潛在威脅,防禦高端或未知的攻擊手法。
ThreatSonar 為 APT 威脅狩獵工具,以 AI 智能偵測、自動調查與自動聯防,內建超過 100 種惡意行為指標與 3,000 種以上已知後門特徵,掌握 APT 攻擊活動慣用伎倆、駭客後續攻擊階段中的入侵軌跡,立即的資安事件應變,並持續觀察端點的情況,有效偵測駭客的託管式偵測與回應服務平台(MDR,Managed Detection and Response Platform)。
- 透過真實案例訓練建立的 APT 風險模型
- 自動鑑定數百種動態異常行為ex:記憶體、檔案、網路連線、系統登錄檔、事件紀錄、工作排程、開機磁區、WMI、啟動程序
- 將第三方情資建立至每個端點設備
- 內建數千種亞洲區域常見 APT 後門特徵
- 匯入 hash、 IP、 domain 外部情資
- Yara Rule 動態 IoC 掃描所有端點
- 用雲端情資比對或離線斷網運作
- 統計關聯分析找出未知手法
- 建立基準線鎖定 Outlier
- 組織中稀有程式或目錄
- 合法系統工具遭到濫用
- 具數位簽章的惡意程式
- 發掘攻擊事件起源及過程
- 內網移動足跡資料外流路徑
- 時間軸 Timeline 呈現先後
- Graph Auto Analysis 自動展開
- 調查各種攻擊手法 TTP ( Tactics, Techniques and Procedures ) 情境
- 開放 API 整合既有防護設備
- 自動化傳遞告警及更新情資
- 發送 CEF ( Common Event Format ) 告警到 SIEM (Security Information Event Management ) 設定規則阻擋
- Restful API 下載報告及樣本
- 程式化更新情資調整偵測規則
多層次偵測威脅
透過 100 + 動態特徵 3,000 + 種靜態特徵 偵測已知威脅。
Threat Intellignece
匯入自訂 Yara、Hash、中繼站 IP、Domain T5 自行研究情資與匯入外部第三方情資。
Threat Hunting
遵循專家模式 Behavior Analytics 統計關連、找出未知威脅。
ThreatSonar 的優勢與特點
ThreatSonar是由TeamT5杜浦數位安全有限公司研發的APT威脅狩獵工具。用途並非要取代既有的資安產品,而是用於協助客戶發現內部潛藏的、未知的入侵威脅;不會與端點各式資安產品有衝突,具備免安裝常駐、輕量化、不須回傳雲端等特點。
架構彈性部署簡單容易,可支援公有雲、私有雲、就地佈署 ( On-Premise ) 或全實體隔離環境。
由既有軟體派送機制部署到端點主機,執行時僅需少量網路頻寬、系統資源與檢測時間,即可迅速完成單次檢測鑑識工作。
報告仔細易懂,快速的事件反應 ( Incident Response ),掌握每個端點狀況,以 Dashboard 視覺化呈現。
當完成檢測後,管理員可立即於分析平台取得風險評估報告,報告提供多國語系做選擇。
無需安裝常駐程式,派送後於背景掃描,不會佔用端點硬體資源,無驅動程式和無相容性問題。
快速高效率檢測不影響系統作業,平均每台端點檢測 20 分鐘就可完成,硬體資源充足的情況下可達每小時 5,000 台端點以上大規模檢測鑑識。