“高级威胁终端检测及响应系统”CTDI是一款终端(桌面和服务器操作系统)威胁检测及响应EDR的产品,采用服务器和客户端的部署架构,CTDI的客户端可以广泛部署在Windows/Linux等操作系统上,从内核态和用户态详细记录“文件操作”、“进程起停”、“注册表修改”和“网络连接”,将日志汇总到CTDI的服务器端,进行关联分析和高级查询。
CTDI是亚信安全精密编排解决方案中提供快速响应的专业调查工具,CTDI能够与亚信安全深度威胁发现设备TDA进行联动验伤,根据TDA从网络上侦测到的威胁线索,在终端操作系统上进行关联分析,快速评估威胁影响范围和危害程度,提供自动化的验伤报告,帮助用户的安全运维人员降低维护成本,提高响应效率。
CTDI还能够同亚信安全高级威胁情报平台深度集成,提供IOA/IOC等EDR增强威胁侦测和溯源分析功能,提升用户威胁可视化能力。
产品总体架构
CTDI的设计架构包括“探针层”、“服务器层”和“平台层”。
“探针层”覆盖了广泛的Windows和Linux操作系统,通过CTDI客户端采集操作系统中的文件操作、进程启停、注册表修改和网络连接等信息,通过心跳连接,定期发送至CTDI的“服务器层”。
“服务器层”集中收集并且长期存储客户端上传的行为记录,通过核心算法进行威胁可视化呈现,还可以根据云端威胁情报模块定期推送的IOA/IOC进行本地日志的回溯扫描和实时监控,检测出基于无文件攻击的高级