【SIP进阶】高级认证1—2024.pptxVIP

深信服安全感知管理平台SIP培训课程安全BG

何为威胁—威胁的分类特点：可通过传统特征检测示例：已知僵木蠕毒、恶意脚本方法：静态特征、动态规则特点：与部分特征模式相似性示例：变种病毒、异化工具方法：相似性分析，特征泛化特点：借助公开漏洞，可绕过防护体系的恶意威胁示例：免杀木马、利用1day、Nday、公开泄露的网络武器方法：威胁情报匹配、语义分析特点：攻击面未知，线索未知、无特定检测方法示例：APT攻击、0day利用、新型变种病毒方法：异常行为的自适应学习、异常行为关联、语义分析威胁主体/工具攻击路线/方式未知已知已知未知难度大成本高无定式

2022年安全运营技术成熟度曲线—GartnerSIEM:SecurityInformationandEventManagementSIEM技术的核心功能是广泛的事件收集，以及跨不同来源关联和分析事件的能力。ThreatIntelligenceProductsandServices威胁情报是某种基于证据的知识，包括上下文、机制、标示、含义和能够执行的建议，这些知识与资产所面临已有的或酝酿中的威胁或危害相关，可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。NDR:NetworkDetectionandResponseGartner对于NDR技术给出了较为明确清晰的定义，这也是Gartner在选择NDR技术推荐厂商及产品的严格标准，NDR技术主要强调新型网络威胁和高级网络威胁的检测和即时响应能力。

SIP是一款集“高级威胁检测”和“安全运营”能力二合一的安全态势感知平台包含资产与脆弱性管理、威胁分析与事件处置、安全可视与风险报告等主要功能帮助用户实现威胁感知、安全易运营、联动闭环。SIP安全感知管理平台安全运营管理高级威胁检测安全运营中心，是以多源日志采集解析、大数据关联分析为核心，结合轻量化的工单流程、精简化的SOAR联动处置等技术，实现日常安全运营的闭环处置高级威胁检测，以全流量分析为核心，结合威胁情报、行为分析建模、机器学习等技术，有效发现已知威胁与未知威胁，实现精准检测安全感知管理平台—SIP概述恐惧源于未知看见才能安全优势介绍强检测AI+云化赋能高检出低误报五大本地引擎并行检测未知威胁云化能力加持，实现威胁情报秒级迭代真联动精准威胁处置绝对不留后患事件一站式处置，告警不再复发230+种联动操作，充分复用现有设备可闭环叠加7*24H服务轻松协同闭环“人机共智”释放安全运营精力专业投入，安全事件轻松协同闭环

NDR分层检测技术—威胁“一网打尽”典型问题：规则搞不定的加密流量、魔改工具、nday漏洞利用、代理转发、隐秘隧道等价值：加强攻防对抗场景检测能力，防止被绕过典型问题：流行病毒、黑客工具、漏洞利用等价值：覆盖更多安全点，提升基础安全检测能力DNSSMBWAF规则IPS规则威胁情报PVS规则二次检测上下文检测统计分析关联分析有监督学习语法语义无监督学习UEBA单个主机攻击链路单条流多条流特征规则代码类分析引擎AI算法白流量学习异常标记流量数据数据标记分层检测流关联分析多维动态检测HTTPNETFLOWRDPMAIL..............特征匹配AI学习全面覆盖已知威胁，重点检测未知威胁典型问题：扫描、暴破、攻击成功价值：覆盖典型攻击行为，加强攻击结果判定行为分析

谢谢聆听让IT更简单，更安全，更有价值！让每个用户的数字化，更简单更安全！