功能类别 |
招标要求 |
威胁感知 |
告警分析 |
支持告警的深度行为分析,行为包括DNS解析行为、TCP/UDP交互行为、WEB访问行为、传输文件行为 |
受害资产分析 |
支持以受害资产维度进行分析,分析内容包括失陷状态、受到的攻击类型、威胁级别、处于的攻击阶段、所属的资产分组 |
攻击者分析 |
▲以攻击者的维度进行分析,对攻击者进行画像,画像内容包括地理位置信息、国家信息、所属组织、使用的攻击手段、攻击的所有资产(提供截图,并加盖原厂公章) |
威胁分析 |
▲支持从威胁情报、应用安全、系统安全和设备安全的业务场景维度对告警进行攻击带外分析。(提供截图,并加盖原厂公章) |
▲威胁情报维度分析包括:情报详情、影响资产列表、资产的行为(行为包含:DNS解析、TCP流量、UDP流量、WEB访问、文件传输) |
▲应用安全的细分维度包括:WEB安全、数据库安全、中间件安全 系统安全的细分维度包括:暴力破解、弱口令、未授权访问、挖矿行为、设备安全; |
云端联动 |
▲支持与云端威胁情报中心联动,可对攻击IP、C&C域名和恶意样本MD5进行一键搜索,查看基本信息、相关样本、关联URL、可视化分析、域名解析、注册信息、关联域名、数字证书等 |
威胁情报 |
支持基于威胁情报的威胁检测,检测类型包含APT事件、僵尸网络、勒索软件、流氓推广、窃密木马、网络蠕虫、远控木马、黑市工具、其他恶意软件,并可自定义威胁情报 |
白名单 |
▲支持对告警进行加白,加白参数包括受害IP、攻击IP、威胁情报、规则、XFF、URL、威胁名称(提供截图,并加盖原厂公章) |
行为分析 |
DNS访问分析 |
▲支持可疑DNS解析:能够检测发现DGA域名与DNS隧道域名,支持根据时间范围、请求次数、DNS域名总长度自定义DNS隧道检测规则(提供截图,并加盖原厂公章) |
▲支持疑似DNS服务器发现:能够根据响应DNS请求与发起DNS请求进行行为分类(提供截图,并加盖原厂公章) |
▲支持链路劫持分析:能够展示被劫持对象、CDN服务器、被劫持资源、文件MD5、访问时间等详细信息(提供截图,并加盖原厂公章) |
▲支持DNS重绑定分析:能够展示受害IP、攻击IP、域名、DNS解析记录、访问时间等详细信息(提供截图,并加盖原厂公章) |
非常规访问分析 |
▲支持可疑代理分析:能够发现socks、http、reDuh、Regeory Tunnel、Tunna等代理类型(提供截图,并加盖原厂公章) |
▲支持远程工具分析:能够发现pc_anywhere、ultra_vnc、chrome_remote_desktop、 oray、teamviewer等远程工具类型 |
支持反弹shell分析:能够展示受害IP、攻击IP、端口、受害地域/资产组、攻击地域/资产组、最近访问时间等详细信息 |
邮件行为分析 |
支持邮件敏感词与敏感后缀发现,自定义敏感词与敏感后缀,并能进行邮箱白名单配置 |
登录行为分析 |
支持暴力破解行为检测,检测内容包含:源ip、目的ip、使用协议、爆破次数、爆破成功与否等 |
▲支持异常登录行为检测,检测内容包括:源ip、账号、登录资产IP、使用协议、登录结果等信息,且能进行异常时间配置(提供截图,并加盖原厂公章) |
▲支持ssh、telnet、ftp、smb等常见协议特权账号登录行为分析,且能自定义特权账号(提供截图,并加盖原厂公章) |
支持对http、pop3、smtp、Telnet、ftp、imap等协议弱口令分析,且能够自定义弱口令字典 |
▲支持明文密码泄露行为检测,检测内容包含:登录账号IP、账号、密码、使用协议(提供截图,并加盖原厂公章) |
WEB服务器行为分析 |
▲支持非常用请求方法分析,展示源ip、目的ip、域名、访问链接、请求方法、状态码、最近访问时间等信息 |
支持可疑爬虫或扫描分析,能自定义web访问频率,且能设置源IP白名单。 |
支持后门上传利用分析,能展示受害ip、攻击ip、上传页面、后门链接、利用次数、最近发生时间等详细信息 |
数据库行为分析 |
▲支持对mysql、mssql、oracle、sybase等常见数据库高危操作行为分析,其能自定义规则(提供截图,并加盖原厂公章) |
访问行为分析 |
▲支持外部访问分析,能展示源ip、资产ip、端口、协议、时间等详细信息,且能自定义源ip白名单(提供截图,并加盖原厂公章) |
▲支持资产横向访问分析,能展示源资产ip、目的资产ip、端口、协议、banner、时间等详细信息,且能自定义源ip白名单(提供截图,并加盖原厂公章) |
支持内部资产主机外联分析,能展示资产ip、外联ip、外联地域、端口、协议、时间等详细信息,且能自定义源ip白名单 |
▲支持风险端口访问分析,能自定义风险端口,且能自定义白名单(提供截图,并加盖原厂公章) |
全包取证分析(与同一品牌全包设备联动) |
告警全包分析 |
▲可基于告警数据进行全包数据取证分析并兼容wireshark过滤语法对全包数据进行查询(提供截图,并加盖原厂公章) |
自定义全包分析 |
▲与全包设备联动后,支持根据日期、源ip、目的ip、端口等对全流量数据进行查询,并支持原始pcap包下载到本地进行分析(提供截图,并加盖原厂公章) |
天眼狩猎 |
威胁狩猎分析 |
▲支持对任意线索的自定义拓线及溯源取证分析,支持以可视化分析画布形式展示拓线过程并支持结果快照导出;支持对于给定线索的溯源结果展示,包括但不限于攻击溯源、失陷主机分析、暴力破解分析、弱口令分析等(提供截图,并加盖原厂公章) |
响应处置 |
处置编排 |
▲支持工作流程自定义编排 |
▲支持联动服务管理,支持python语言与javascript语言在web页面编辑联动服务 |
▲支持任务脚本自定义编辑,支持python语言与javascript语言在web页面进行编辑(提供截图,并加盖原厂公章) |
策略管理 |
▲支持策略定义,可根据工作流进行处置动作定义,且能根据告警类型、攻击结果、威胁类别进行联动策略定义(提供截图,并加盖原厂公章) |
处置记录 |
▲支持编排处置日志记录,记录处置时间、受害ip、攻击ip、告警类型、威胁名称、域名、处置策略、告警来源等信息(提供截图,并加盖原厂公章) |
威胁溯源 |
网络日志检索 |
▲支持检索异常报文、域名解析、文件传输、FTP控制通道、LDAP行为、登录动作、邮件行为、MQ流量、网络阻断、数据库操作、SSL加密协商、TCP流量、Telnet行为、UDP流量、WEB访问等网络流量日志,并可基于时间、IP、端口、协议、上下行负载等多重字段组合进行日志检索(提供截图,并加盖原厂公章) |
告警日志检索 |
▲支持告警日志检索,可基于时间、告警类型、文件MD5、文件名、文件传输方向、攻击方式、攻击结果、来源/目的所属国、IP地址、上下行负载等多字段混合搜索 |
终端日志检索 |
▲支持检索终端IM文件传输、邮件附件传输、DNS访问、 进程、U盘文件传输等动作的日志,可以及时发现终端上存在的异常现象,并可结合网络日志及告警日志深挖威胁的攻击全过程(提供截图,并加盖原厂公章) |
SPL检索 |
▲支持通过SPL搜索语句进行详细检索并能够采用多字段组合来进行日志检索生成视图(提供截图,并加盖原厂公章) |
可视化展示 |
外部威胁态势 |
▲支持大屏展示网络攻击态势,包括整体网络风险指数、告警总数、攻击次数、攻击IP数、攻击源国家/地区TOP5、攻击态势,并支持自动翻转的攻击全景地图展示(提供截图,并加盖原厂公章) |
威胁事件态势 |
▲支持大屏展示整体威胁事件态势,包括威胁类型分布、威胁类型TOP5、受害主机TOP5、威胁事件趋势、最新告警事件、威胁星云图(提供截图,并加盖原厂公章) |
资产风险态势 |
▲支持大屏展示整体资产风险态势,包含资产树结构、资产分类、开放服务统计、网段管理、资产风险趋势、资产风险状态(提供截图,并加盖原厂公章) |
访问态势 |
▲支持大屏展示资产包括外部访问、横向访问、内网外联态势(提供截图,并加盖原厂公章) |
安全服务 |
专家分析服务 |
▲支持与云端安全运营中心联动。设备能连接互联网时,安全专家在云端分析并撰写威胁分析报告下发到设备上共用户查阅;设备离线时,可将关键数据离线导出上传到云端安全运营中心,安全专家进行分析撰写威胁分析报告 |
安全工具 |
支持安全服务工具插件化管理 |
资产管理 |
自动发现 |
支持自动从流量中识别资产信息包含:IP、端口、服务、操作系统、MAC |
资产分组 |
支持对资产进行分组管理及对应内网网段的录入,系统自动根据用户录入的网段发现资产信息,同时支持根据分组过滤资产列表 |
资产标签 |
支持对资产打标签,同时支持根据标签过滤资产列表 |
资产列表 |
支持展示自动发现、终端管理系统获取和人工录入的资产信息,信息包括:资产IP、资产名称、分类、责任人、责任人部门、资产分组、权重、服务、资产标签、设备型号、操作系统、物理地址、网关标识、厂家 |
资产互访 |
支持展示资产及资产分组之间互访信息,信息包括:互访协议、目的端口、互访次数 |
脆弱性 |
支持展示资产漏洞信息,信息包括:资产IP、资产名称、资产组、漏洞名称、最近发现时间、威胁级别、漏洞来源、漏洞披露时间、CVE编号、CNNVD编号。并支持导入漏洞知识库文件。 |
配置核查 |
支持展示资产配置核查信息,配置类型包括:敏感端口暴露、明文密码泄露、弱口令 |
与众测平台对接 |
▲支持配置展示云端众测平台漏洞信息 |
报表管理 |
快速报表 |
可自定义选择报表生成的数据范围、报表格式、报表模版 |
周期报表 |
支持自定义生成周期、报表格式、报表模版 |
报表模版 |
默认提供多种报表模版(支持用户自定义模版),模版包括告警、受害资产、日志、威胁分析等等。 |
系统管理 |
集群部署 |
▲支持分析平台横向扩展至多台设备集群(提供截图,并加盖原厂公章) |
客户化管理 |
支持自定义产品名称、产品logo |
运营管理 |
▲提供告警展示场景,支持展示场景的切换。每个告警展示场景中支持自定义页面数据展示的范围,方便管理人员的日常运维工作(提供截图,并加盖原厂公章) |
联动管理 |
支持系统日志、告警日志、原始告警、行为分析信息发送给syslog服务器,支持系统日志、告警日志、行为分析信息发送给邮件服务器,支持将系统日志、告警日志、原始告警、资产配置、行为分析配置信息传输给KAFKA |
流量传感器联动(同一品牌) |
支持与流量传感器进行联动,发现威胁事件后支持对攻击IP、恶意域名和受害资产的流量进行封禁 |
安全性管理 |
支持多次登录失败锁定账号和超时登陆配置 |
▲支持AES256、SM4数据传输加密,确保数据传输的安全性(提供截图,并加盖原厂公章) |
支持自定义WEB访问端口 |
邮件告警 |
支持邮件告警功能,可以定时向指定邮箱发送APT事件、攻击利用、恶意软件、拒绝服务等类型的告警信息 |
级联管理 |
▲支持二级级联部署,下级分析平台向上级分析平台发送告警和相关信息,在上级分析平台上进行汇总展示(提供截图,并加盖原厂公章) |
日志备份 |
支持对日志进行导出备份以及导入恢复 |
用户管理 |
可根据用户角色对用户进行区分,赋予不同角色用户不同的操作权限(系统管理员、操作员、审计员) |
访问白名单 |
支持配置平台访问白名单 |
第三方登录管理 |
支持配置第三方域账号登录 |
规则管理 |
支持自定义威胁情报、白名单、弱口令字典、暴力破解规则、漏洞知识库配置,支持用户新建/导入已有的规则信息 |
设备监控 |
支持查看本级设备及连接设备的状态信息 |
★厂商资质 |
厂商为“信息安全等级保护关键技术国家工程实验室”共建单位 |
国测信息安全服务资质-安全开发类一级证书 |
国测信息安全服务资质-云计算安全类一级证书 |
通信网络安全服务能力评定证书安全培训一级证书 |
CNCERT 网络安全信息通报单位 |
★服务 |
签订合同时设备使用授权书。 |
★产品测试 |
为防止投标人虚假应答技术指标,从而造成用户在实际使用设备过程中无法实现所需的功能,中标公示期间需要提供同型号的样机进行上述功能和要求的逐一测试验证,全部通过后执行合同流程,在指定的时间不能提供测试样机进行测试或测试中发现虚假应标的行为,则中标结果无效,并保留对预中标单位追究相关责任的权利。 |