神州泰岳

产品介绍

Ultra-NetSensor是神州泰岳2016年推出的全新一代网络协议审计产品。通过旁路采集、分析内网中的网络流量,Ultra-NetSensor可以全面监控企业内网业务系统间的访问、操作行为,为安全管理人员提供了在线监控和事后审计的技术手段。

优势特点

产品功能

适用场景

经典案例

神州泰岳

实时告警

检测到符合告警规则的可疑操作,系统将通过邮件或短信的方式下发给安全负责人。

强大的日志分析报表

支持针对源、目的地址、起始时间、终止时间以及URL地址、关键字、操作命令等多条件灵活的日志查询;灵活的分类智能报表功能,能够针对多种要素进行Top10排名,可导出pdf或html格式;提供日志的手动和自动备份,手动和自动清除功能,支持离线日志查看功能。

发现与追溯可疑事件

NetSensor实时监控关键网络流量,通过预定义行为和智能分析快速发现网络中的异常行为从不同纬度的数据特征和行为模式定位安全事件的核心关键点,为最终的处理和追责形成有力依据。

邮件敏感数据发现

对通过WEB方式或客户端方式(SMTP、POP3、IMAP)收发邮件进行源地址、发收件时间、发件人、收件人、主题、正文、附件的内容还原,并对邮件中的敏感关键词进行审计。

灵活、便捷的行为模型定义

NetSensor不仅有预定义的行为特征库,而且支持用户自定义各类复杂的威胁模型,提升系统对未知威胁的检测。

原始流量数据的完整记录

支持200多种网络协议识别,海量网络数据流量完整记录,建立索引和元数据信息,以此支持数据挖掘和分析取证。

多维度报表展示

通过多种手段发现业务中存在的问题,例如业务主机访问量排名柱图;业务用户访问量排名柱图;每小时各类型数据库访问量趋势折线图;各类型数据库流量占比饼图;业务用户与业务主机关系图。

审计结果导出

审计策略管理

统一化对采用的采集引擎、接口、采集范围、采集规则、过滤规则、告警方式、告警接收人进行策略配置,使整套产品的管理工作简单明了,方便操作。

系统可用性自监控

系统状态达到一定的临界值时进行系统告警,例如系统磁盘剩余空间、CPU使用率、内存使用率、网卡吞度量峰值都可以通过短信和邮件下发给相关责任人。

业务实体化管理

通过对象管理模块将业务用户、业务主机、应用系统的属性信息统一化管理,建立数据的业务关联性和补全日志中的业务属性。

自动化输出报表

访问行为审计

Ultra-NetSensor提供了深度访问行为还原审计,可对网内业务系统访问流量提供完整的内容检测、信息还原能力,并进行细粒度的审计追踪。

异常流量审计

提供强大的流量分析功能,实时统计当前网络中的多协议流量,进行综合流量审计分析,支持灵活可配置流量告警策略,输出详细的定制流量报表。

经典案例

中国移动业务支撑网安全态势感知平台

合作背景

中国移动安全态势感知平台利用各省公司、专业公司、基地等现有的安全系统、安全设备,逐步演进为“安全数据集中存储、安全态势感知场景不断扩充、分析能力与数据对外开放”的高价值安全信息存储及分析平台;充分探索新技术,跟踪重要安全问题处置方法、加快对安全威胁形势的认知及有效预期。

该项目提出了流量分析要求,通过实时计算引擎完成网络流量的分析,从多种维度分析建立异常流量分类基线,包含以下维度:

以流量的协议维度

将相同协议类型(比如HTTP/HTTPS/FTP/…/Generic_TCP/Generic_UDP)的流量进行统计,计算各协议的流量大小和流量占比,建立各个不同协议的流量大小基线和流量占比基线。

以目标应用系统维度

将相同目标应用系统的流量进行统计,计算各目标应用系统的上行流量大小、下行流量大小,建立各个目标应用系统的上行流量大小基线和下行流量大小基线。

以源地址地理或组织结构维度

按照源地址的地理信息(比如国外、省外和省内)或者组织结构,计算各类源地址的流量大小、源IP数,建立各类源地址的流量大小基线和源IP数基线。

根据不同的统计周期,将当前统计值与基线做对比,识别出其中的异常流量。

流量分析完成后,输出数据如下:

1、异常流量事件输出

2、流量分析统计输出

  

客户价值

通过部署NetSensor使客户清楚直观的从系统视图中看到所有业务上的流量动向,清楚掌握核心重要的应用或页面,从而加强管控力度。客户在整理过审计结果后,系统的梳理出了若干个常态化的访问场景,同时异常访问的场景也得到了准确的定义。客户结合自身所具备的行业经验在系统中制定了切合业务的审计规则和告警规则,在后续的工作中不断发现并完善了异常场景,使安全工作有条不紊的展开,一改之前忙于救火的状态,NetSensor辅助用户做到了知威胁、见威胁、懂威胁的安全运营状态。