凌群智慧型资安整合服务平台
- 整合传统SOC(SIEM)与新一代SOC产品功能。
- 建立资安状况感知(仪表板)与资安威胁警示灯号。
- 以智能化ISO管理工具,协助客户建置资安PDCA标准作业流程。
- 满足客户ISAC、SOC、CERT三大作业机制运作需求。
- 协助大型客户建构情资驱动之跨组织应便联防体系。
- 横跨IT/OT/IOT领域,为客户量身打造最适化的安全机制。
六大特色
凌群智慧型资安整合服务平台Diamond Guard是一套有别于传统资安监控服务(SOC)的新世代资安整合服务平台,以情资驱动为导向,结合终端可视性工具、网路可视性工具及自动化流程引擎,进行资安(预警)情资的自动串查、恶意行为防堵与资安事件(故)的通报处理,满足企业资安情资分享(ISAC)、资安服务监控(SOC)及紧急应变通报(CERT)三大作业需求,具有以下六大特色。
1
整合传统SOC(SIEM)与新一代SOC产品功能
有别于传统SOC的作法,整合终端及网路可视性工具,运用人工智慧、机器学习、大数据分析等技术,为企业提供事前预防、事中侦测与事后应处全方位资安专业服务。
2
建立资安状况感知(仪表板)与资安威胁警示灯号
以反映实况的资安指标,协助企业资安长及资讯主管确实掌握企业本身的资安状况与体质。
3
以智能化ISO管理工具,协助客户建置资安PDCA标准作业流程
透过自动化的流程引擎,建立各项资安工作的标准SOP,使知识得以不断精淬、累积跟传承。
4
满足客户ISAC、SOC、CERT三大作业机制运作需求
结合自动化流程引擎,将ISAC事前预防、SOC事中侦测及CERT事件应处作业串联起来,驱使每一个环节能被澈底执行及完成,并发挥管制的功能。
5
协助大型客户建构情资驱动之跨组织应变联防体系
以阶层式系统运作架构,整合情资分享、传递及自动串查功能,协助企业建构跨组织通报应变联防体系,发挥单点遭骇全面防处的效果!
6
横跨IT/OT/IOT领域,为客户量身打造最适化的安全机制
整合业界顶尖资安监测工具、SIEM平台及自主研发自动化流程引擎,横跨IT/OT/IOT领域,为客户量身打造全方位且最适化的资安监控与通报应变处理作业机制。
三大核心功能
整体平台主要包含「系统主模组」、「网路可视性模组」及「终端可视性模组」等三大核心功能模组
包含服务平台入口网站、服务平台系统管理、情资应用处理、联合防护、作业流程管理等五大模组。
提供数位仪表版即时显示单位资安体质状况及威胁警示灯号。
提供待办事项管制功能,依登入使用者角色(资安承办人/网路管理者/主机系统管理者/网站管理者)显示待办事项执行进度及完成时限。
提供系统参数设定及阶层式从属管理功能,可依机关实际运作环境及从属架构进行功能设定。
提供情资应用处理功能,整合政府资安情资分析分享平台(NISAC),可透过系统设定自动接收来自NISAC/领域ISAC/其他 (符合STIX 格式) 等情资来源之各类情资,即时掌握最新预警情资,发挥联防应变效果。
提供自动化流程引擎及内建资安作业处理标准流程,可针对各类情资(资安讯息ANA/资安预警EWA/网页攻击DEF/入侵攻击INT/回馈FBI)进行自动串查(包含终端鑑识、网路封包调阅、恶意档案分析等),经SOC专业分析人员确认后,进行自动化联合防护(包含恶意中继站IP防堵、病毒码派送等)。
提供传统SOC(SIEM)整合功能,将SIEM平台产生之内部告警情资纳入情资应用处理模组管理,进行自动串查及联合防护。
提供CERT整合功能,透过自动化流程引擎,针对内、外部情资自动串查确认之事件,执行影响等级分析、网站通报、损害管制、復原作业及补救改进措施等管制作业。
提供事件应变处理资料库功能,可累积事件应变处理经验,提供损害管制、復原作业及补救改进措施等作业提示线上辅助功能。
网路流量监知与感应系统
具备网路流量原始封包即时侧录、保存、检索、资安分析功能,可弹性佈署于对外网际网路(Internet)闸道出口(Gateway)及内部重要网路接入节点,并提供中控台(Central Console)功能。
具备网路流量封包中介资料(Metadata)解析萃取技术,支援多种网路通讯协定,包括网路层协定(IP、ICMP)、传输层协定(TCP、UDP)及应用层协定(HTTP、TLS、DNS、SMB、SSH、SMTP、MySQL等)。
可保存各通讯协定之中介资料(Metadata)和流量原始PCAP档案,并提供高速检索功能。检索功能须支援布林逻辑条件运算,可自由组合网路层、传输层、应用层协定中介资料栏位值形成查询条件,并针对该条件汇出相对应的PCAP格式档案。
检索功能支援关键字搜索和常规表示法(Regular Expression)的过滤机制。
使用者可针对协定及网路封包特性自行定义异常连线行为的特徵值,并提供标示机制及客製化标记资料搜寻功能,便于鑑识分析作业的进行。
提供视觉化网路鑑识功能,可依据检索的结果描绘网路攻击连线拓朴图,清楚呈现来源目标IP连线位址、连接埠、国家…等关键资讯与关联。
端点威胁鑑识系统分析平台
可显示每日完成扫描的主机端点数量、可疑程式威胁评估等级分布、日/週/月主机端点扫描概观(overview)、ThreatSonar端点威胁鑑识系统伺服器状态等重要系统资讯。使用者可以透过此功能快速掌握每天恶意程式扫描状态。
可依据不同部门别、恶意程式威胁等级、时间等条件筛选主机端点。筛选结果可呈现可疑程式位于哪一台主机、主机IP、主机Hostname、作业系统版本、以甚麽身分执行等资讯。
独创的记忆体鑑识技术,具备各种启发式规则,可逐一分析记忆体内容:是否潜藏骇客威胁工具或轨迹,再透过轨迹间的横向通讯触发行为,完整勾勒出端点设备遭遇骇客攻击的感染链与时间轴,使管理者更精准掌握可能遭受骇客攻击的发生来源与扩散途径,为日后安全强化措施制定正确有效的方案。
具备客製化编辑Yara rule功能,由于每位资安人员掌握情资与经验不一,此功能可以辅助资安人员增强特徵,提升侦测效率。
提供威胁狩猎(Threat Hunting)功能,协助挖掘Level 1 ~ 3有嫌疑的事件(Outlier),并且找出相关威胁,包含:程式、档案路径与名称、杂凑值(hash)、域名、IP等并且过滤干扰因数,使用统计方法找出部署范围中具异常特徵(如:离群值)之程式,有效的抑制网路间谍的攻击。
端点威胁鑑识系统扫描程式
採用既有AD或资产管理系统派送机制,完成自动化週期威胁猎杀工作排程设置。
无需安装常驻程式,派送后于背景扫描,平时不佔用端点硬体资源,无驱动程式,无相容性问题。
端点威胁鑑识扫描程式会扫描用户主机记忆体、档案、网路连线、系统登录档、机码、启动程序、执行程序、档案、动态连结函式库等内容,进而找出受感染的主机。
扫描程式即可依指定排程实施威胁鑑识,扫描结果将加密回传威胁分析平台,再由威胁分析平台产製威胁分析报告,资安人员可随时于威胁入侵评估平台掌握资讯安全现况。
四大面向
凌群「智慧型资安整合服务平台Diamond Guard」可满足政府机关及民间企业遵循(配合)政府资安政策,整合资安作业的四大面向:建立早期预警(ISAC)、即时监控(SOC)、应变制变(CERT)等资安作业机制。
