凌群智慧型資安整合服務平台
- 整合傳統SOC(SIEM)與新一代SOC產品功能。
- 建立資安狀況感知(儀表板)與資安威脅警示燈號。
- 以智能化ISO管理工具,協助客戶建置資安PDCA標準作業流程。
- 滿足客戶ISAC、SOC、CERT三大作業機制運作需求。
- 協助大型客戶建構情資驅動之跨組織應便聯防體系。
- 橫跨IT/OT/IOT領域,為客戶量身打造最適化的安全機制。
六大特色
凌群智慧型資安整合服務平台Diamond Guard是一套有別於傳統資安監控服務(SOC)的新世代資安整合服務平台,以情資驅動為導向,結合終端可視性工具、網路可視性工具及自動化流程引擎,進行資安(預警)情資的自動串查、惡意行為防堵與資安事件(故)的通報處理,滿足企業資安情資分享(ISAC)、資安服務監控(SOC)及緊急應變通報(CERT)三大作業需求,具有以下六大特色。
1
整合傳統SOC(SIEM)與新一代SOC產品功能
有別於傳統SOC的作法,整合終端及網路可視性工具,運用人工智慧、機器學習、大數據分析等技術,為企業提供事前預防、事中偵測與事後應處全方位資安專業服務。
2
建立資安狀況感知(儀表板)與資安威脅警示燈號
以反映實況的資安指標,協助企業資安長及資訊主管確實掌握企業本身的資安狀況與體質。
3
以智能化ISO管理工具,協助客戶建置資安PDCA標準作業流程
透過自動化的流程引擎,建立各項資安工作的標準SOP,使知識得以不斷精淬、累積跟傳承。
4
滿足客戶ISAC、SOC、CERT三大作業機制運作需求
結合自動化流程引擎,將ISAC事前預防、SOC事中偵測及CERT事件應處作業串聯起來,驅使每一個環節能被澈底執行及完成,並發揮管制的功能。
5
協助大型客戶建構情資驅動之跨組織應變聯防體系
以階層式系統運作架構,整合情資分享、傳遞及自動串查功能,協助企業建構跨組織通報應變聯防體系,發揮單點遭駭全面防處的效果!
6
橫跨IT/OT/IOT領域,為客戶量身打造最適化的安全機制
整合業界頂尖資安監測工具、SIEM平台及自主研發自動化流程引擎,橫跨IT/OT/IOT領域,為客戶量身打造全方位且最適化的資安監控與通報應變處理作業機制。
三大核心功能
整體平台主要包含「系統主模組」、「網路可視性模組」及「終端可視性模組」等三大核心功能模組
包含服務平台入口網站、服務平台系統管理、情資應用處理、聯合防護、作業流程管理等五大模組。
提供數位儀表版即時顯示單位資安體質狀況及威脅警示燈號。
提供待辦事項管制功能,依登入使用者角色(資安承辦人/網路管理者/主機系統管理者/網站管理者)顯示待辦事項執行進度及完成時限。
提供系統參數設定及階層式從屬管理功能,可依機關實際運作環境及從屬架構進行功能設定。
提供情資應用處理功能,整合政府資安情資分析分享平台(NISAC),可透過系統設定自動接收來自NISAC/領域ISAC/其他 (符合STIX 格式) 等情資來源之各類情資,即時掌握最新預警情資,發揮聯防應變效果。
提供自動化流程引擎及內建資安作業處理標準流程,可針對各類情資(資安訊息ANA/資安預警EWA/網頁攻擊DEF/入侵攻擊INT/回饋FBI)進行自動串查(包含終端鑑識、網路封包調閱、惡意檔案分析等),經SOC專業分析人員確認後,進行自動化聯合防護(包含惡意中繼站IP防堵、病毒碼派送等)。
提供傳統SOC(SIEM)整合功能,將SIEM平台產生之內部告警情資納入情資應用處理模組管理,進行自動串查及聯合防護。
提供CERT整合功能,透過自動化流程引擎,針對內、外部情資自動串查確認之事件,執行影響等級分析、網站通報、損害管制、復原作業及補救改進措施等管制作業。
提供事件應變處理資料庫功能,可累積事件應變處理經驗,提供損害管制、復原作業及補救改進措施等作業提示線上輔助功能。
網路流量監知與感應系統
具備網路流量原始封包即時側錄、保存、檢索、資安分析功能,可彈性佈署於對外網際網路(Internet)閘道出口(Gateway)及內部重要網路接入節點,並提供中控台(Central Console)功能。
具備網路流量封包中介資料(Metadata)解析萃取技術,支援多種網路通訊協定,包括網路層協定(IP、ICMP)、傳輸層協定(TCP、UDP)及應用層協定(HTTP、TLS、DNS、SMB、SSH、SMTP、MySQL等)。
可保存各通訊協定之中介資料(Metadata)和流量原始PCAP檔案,並提供高速檢索功能。檢索功能須支援布林邏輯條件運算,可自由組合網路層、傳輸層、應用層協定中介資料欄位值形成查詢條件,並針對該條件匯出相對應的PCAP格式檔案。
檢索功能支援關鍵字搜索和常規表示法(Regular Expression)的過濾機制。
使用者可針對協定及網路封包特性自行定義異常連線行為的特徵值,並提供標示機制及客製化標記資料搜尋功能,便於鑑識分析作業的進行。
提供視覺化網路鑑識功能,可依據檢索的結果描繪網路攻擊連線拓樸圖,清楚呈現來源目標IP連線位址、連接埠、國家…等關鍵資訊與關聯。
端點威脅鑑識系統分析平台
可顯示每日完成掃描的主機端點數量、可疑程式威脅評估等級分布、日/週/月主機端點掃描概觀(overview)、ThreatSonar端點威脅鑑識系統伺服器狀態等重要系統資訊。使用者可以透過此功能快速掌握每天惡意程式掃描狀態。
可依據不同部門別、惡意程式威脅等級、時間等條件篩選主機端點。篩選結果可呈現可疑程式位於哪一台主機、主機IP、主機Hostname、作業系統版本、以甚麼身分執行等資訊。
獨創的記憶體鑑識技術,具備各種啟發式規則,可逐一分析記憶體內容:是否潛藏駭客威脅工具或軌跡,再透過軌跡間的橫向通訊觸發行為,完整勾勒出端點設備遭遇駭客攻擊的感染鏈與時間軸,使管理者更精準掌握可能遭受駭客攻擊的發生來源與擴散途徑,為日後安全強化措施制定正確有效的方案。
具備客製化編輯Yara rule功能,由於每位資安人員掌握情資與經驗不一,此功能可以輔助資安人員增強特徵,提升偵測效率。
提供威脅狩獵(Threat Hunting)功能,協助挖掘Level 1 ~ 3有嫌疑的事件(Outlier),並且找出相關威脅,包含:程式、檔案路徑與名稱、雜湊值(hash)、域名、IP等並且過濾干擾因數,使用統計方法找出部署範圍中具異常特徵(如:離群值)之程式,有效的抑制網路間諜的攻擊。
端點威脅鑑識系統掃描程式
採用既有AD或資產管理系統派送機制,完成自動化週期威脅獵殺工作排程設置。
無需安裝常駐程式,派送後於背景掃描,平時不佔用端點硬體資源,無驅動程式,無相容性問題。
端點威脅鑑識掃描程式會掃描用戶主機記憶體、檔案、網路連線、系統登錄檔、機碼、啟動程序、執行程序、檔案、動態連結函式庫等內容,進而找出受感染的主機。
掃描程式即可依指定排程實施威脅鑑識,掃描結果將加密回傳威脅分析平台,再由威脅分析平台產製威脅分析報告,資安人員可隨時於威脅入侵評估平台掌握資訊安全現況。
四大面向
凌群「智慧型資安整合服務平台Diamond Guard」可滿足政府機關及民間企業遵循(配合)政府資安政策,整合資安作業的四大面向:建立早期預警(ISAC)、即時監控(SOC)、應變制變(CERT)等資安作業機制。
