ThreatSonar 端點智能威脅鑑識平台

智能鑑識 • 情資驅動 • 自動調查 • 威脅狩獵 • 自動聯防

Img design concept
ThreatSonar 設計理念

駭客威脅持續發生,進階持續威脅 (APT) 攻擊機會也不斷升高,企業每年投注愈來愈多的設備與人力預算,仍難以有效地發覺或阻止 APT 攻擊。當攻擊事件確認時,企業機敏資料往往已經被竊取。

有鑑於此,專注於全球威脅情資分析與研究的 Doppler 團隊,將其獨特 APT 追蹤分析、數位鑑識方法,結合數千真實惡意程式和事件反應案例經驗,研發出「ThreatSonar 端點智能威脅鑑識系統」。

ThreatSonar 優勢特色
Circle shadow inspect
智能鑑識
Compromise Assessment 真實案例訓練的 APT 風險模型 自動鑑定數百種 動態行為異常
記憶體、檔案、網路連線、系統登錄、事件紀錄、工作排程、開機磁區、WMI、啟動程序
Circle shadow chess
情資驅動
Threat Intelligence 將第三方情資 帶到每個端點 內建數千種亞洲 APT 後門特徵
匯入 hash, IP, domain 外部情資
yara rule 動態 IoC 掃描所有端點
可雲端情資比對 或離線斷網運作
Circle shadow timeline
自動調查
Auto Investigation 發掘攻擊事件 起源及過程 內網移動足跡 資料外流路徑
時間軸 Timeline 呈現先後
Graph Auto Analysis 自動展開
調查各種攻擊手法 TTP 情境
Circle shadow discover
威脅狩獵
Threat Hunting 統計關聯分析 找出未知手法 建立基準線 鎖定 Outlier
組織中稀有程式或目錄
合法系統工具遭到濫用
具數位簽章的惡意程式
Circle shadow secure ic shield
自動聯防
Orchestration 開放 API 整合既有防護設備 自動化傳遞告警及更新情資
發 CEF 告警到 SIEM 設定規則阻擋
Restful API 下載報告及樣本
程式化更新情資 調整偵測規則
ThreatSonar 鑑識報告
ThreatSonar 自動調查 (demo)
ThreatSonar 與防毒軟體互補
  • 智能鑑識 評估端點是否有 進階持續威脅 (APT) 風險
  • 偵測 APT 惡意程式、後門駭客工具、系統組態異常動態
  • 動態行為模型 + 靜態特徵 混合偵測引擎,可導入外部情資如 yara rule 增強偵測
  • 如同資安事件應變小組 (CSIRT) 專家,進行記憶體、檔案、系統鑑識,能夠找出未知的威脅
  • 無須安裝常駐程式,派送或排程啟動掃描
    無驅動程式,不影響系統效能,沒有相容性問題
  • 回傳風險報告給應變小組,擴大狩獵潛在威脅,鎖定受害範圍後,人工清除 APT 後門
  • 高效率,僅掃描可疑檔案和攻擊者留下的軌跡,平均約20分鐘完成 (依電腦效能而異)
  • 阻擋各式各樣的惡意程式執行
  • 偵測常見惡意程式 (非APT),例如殭屍網路和蠕蟲、網路銀行木馬、勒索軟體。
  • 依靠特徵碼,只能偵測已知且大量擴散的惡意程式,容易遭 APT 攻擊者免殺或繞過
  • 傳統比對非黑即白,無法找出可疑灰色地帶,未知的新威脅
  • 常駐需要安裝,以驅動程式 hook 系統核心,容易拖慢系統效能,或產生相容性問題
  • 可攔截或隔離受感染的檔案,但無法自動清除隱藏的後門程式、遭竄改系統組態,易復發
  • 全硬碟掃描,至少需要數個小時才能完成
ThreatSonar 主機部署
公有雲 Amazon AWS, Softbank, GMO Cloud
私有雲 VMWare, VirtualBox, Xen Server
可落地 On-premise 或 完全實體隔離 環境
支援 硬體伺服器 或 筆記型電腦 安裝
支援 系統和情資 的 Off-line 離線更新
ThreatSonar
端點部署
更多資訊