网络安全产品---态势感知&EDR

司越越

已于 2024-06-15 20:59:17 修改

阅读量635

点赞数 3

分类专栏：网络安全产品文章标签：网络安全

于 2024-04-16 12:03:44 首次发布

本文链接：https://blog.csdn.net/weixin_60885144/article/details/137819652

版权

网络安全产品专栏收录该内容

11 篇文章 0 订阅

订阅专栏

态势感知

what

SA，Situational Awareness

通过采集网络流量，资产信息，日志，漏洞信息，等数据，分析和处理网络行为，掌握网络安全状态，预测网络安全趋势，并展示和监测预警的活动

why

安全防护思想已经从过去的被动防御向主动防护和智能防护转变。如果不做到主动防御很难应对APT(高级持续性威胁)

安全建设的目标从满足合规转变为增强防御和威慑能力
攻击检测的对象从已知威胁转变为未知威胁，通过大数据分析、异常检测、态势感知、机器学习等技术，实现对高级威胁的检测。
对威胁的响应从人工分析并处置转变为自动响应闭环，强调应急响应、协同联动，实现安全弹性。

how

态势感知的三要素即感知、理解和预测

利用大数据分析技术，态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析，为用户呈现出全局安全攻击态势。(DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制等)

通过威胁地图直观展示在全球范围内面临的威胁和最近发现的威胁事件，便于管理者能及时发现威胁，预判全网安全走势。提升网络态势监控、威胁分析、日常运维、事件处置等安全能力建设水平

态势感知探针

是一种用于网络安全的设备或软件，用于监测和收集网络中的数据流量、事件和行为信息，以便实时分析和识别潜在的安全威胁。它可以通过监控网络流量、日志、事件和其他相关数据源来获取关于网络环境的全面信息，包括网络拓扑、设备状态、用户行为、应用程序使用情况等。通过对这些数据进行分析和处理，态势感知探针可以帮助安全团队及时发现和应对网络攻击、异常行为和其他安全事件，提高网络安全防护能力。

SA与其他安全服务的关系与区别

SA本身不做具体的安全防护行为，而是作为安全管理服务，依赖于其他安全服务提供威胁检测数据以及安全防护设备日志等信息，进行安全威胁风险分析，呈现全局安全威胁态势，并提供防护建议。

其他安全服务将检测到的危险数据处理的同时，将这些数据同一汇集在SA呈现全局态势

安全大屏可以展示----资产态势，流量态势，运行态势(CPU，内存，网络使用情况)，脆弱性态势(弱口令，漏洞，不安全配置)，攻击态势，异常行为态势(偏离用户行为正常基线)

同EDR区别与联系

（Endpoint Detection and Response，端点检测和响应）,在端点设备安装轻量级数据收集工具或代理来收集数据，针对端点设备的恶意活动，基于安全团队设置的预定义规则，或者机器学习算法随着时间的推移学习，来实现自动响应。

按我的理解EDR就是传统pc杀毒软件+主动防御(事先监控阻断未知威胁)+可以被统一监管与设置个性化安全策略

联系

数据源：EDR和动态感知都依赖于各种数据源来进行安全事件分析和检测。EDR主要依赖于终端设备上的数据源，如注册表、日志、网络连接等；而动态感知主要依赖于网络流量数据、入侵检测系统（IDS）警报、威胁情报等数据。
分析方法：EDR和动态感知都使用先进的分析方法来检测和响应安全事件。EDR常使用行为分析、异常检测和威胁情报比对等方法；而动态感知常使用流量分析、机器学习、行为模型等方法。
综合安全：EDR和动态感知可以结合使用，提供更综合的终端和网络安全保护。通过集成EDR和动态感知，可以实现从终端到网络的全面威胁检测和响应，提高整体安全防御能力。

以上仅从单一方面介绍了SA的基本情况

具体参考

成长地图_态势感知 SA (huaweicloud.com)

（eBook）网络安全态势感知 - 华为 (huawei.com)