4-趋势科技威胁发现系统TDAx
时间:2020-10-31 20:19:01 来源:勤学考试网 本文已影响 人
实用标准文案
实用标准文案
文档
文档
趋势科技威胁发现系统 TDA
一、 TDA简介
作为Trend Micro威胁管理解决方案关键的第一步,部署在各个网络层次交换机上执
行综合的全面覆盖,通过监控网络层的可疑活动定位恶意程序,威胁发现设备( Threat
Discovery Applianee- 简称TDA )集成趋势科技"云安全”技术,可全面支持检测 2-7层
的恶意威胁,以识别和应对下一代网络威胁。 这是传统的、基于代码比对方式的安全产品所
无法办到的。
与趋势科技“云安全”技术配合, TDA可检测基于 Web威胁或邮件内容的攻击,如
Web攻击、跨站点脚本攻击和网络钓鱼。另外,当恶意程序在网络中传播感染其它用户时, 它们就会被打上标记, 其中就包括向外界传送信息或从恶意的来源 (如僵尸网络)接收命令
的隐藏型恶意软件。TDA还能识别违反安全策略、中断网络以及消耗大量带宽的或构成潜 在安全威胁的未经授权应用程序和服务程序。这些应用程序和服务程序包括如即时通讯
(Bittorrent, Kazaa, eDonkey, MSN, Yahoo Messenger )、P2P 文件共享、流媒体,以
及未授权服务如 SMTP中继和DNS欺骗。TDA利用网络内容检测技术侦测网络流量以及 趋势科技病毒扫描引擎对其进行内容分析, 并采用在网络交换机上使用端口扫描并以创建网
络数据包的镜像方式进行内容检查,确保网络服务不会被中断。企业管理员可根据 TDA收
集提供的反馈报告信息制订相应的企业网络安全规划。
二、 产品介绍
2.1功能概览
TDA主要包含以下功能:
在网络探测恶意威胁
探测网络中断行为
网络内容检测技术
全面发现SecureCloud服务
2.2产品规格
项目
内容
处理器
Quad- Core In tel? Xeon?
Processor X5355 x 2
内存 8 G
硬盘
300 GB X2 , Raid 0 ,热插拨
网路卡 GigabitEthernet NIC
电源
Redu ndant Power Supply
流量支撑 700 Mbpts ,10,000 连线数
三、产品特性
3.1产品功能介绍
在网络探测恶意威胁
探测新型和已知恶意威胁
发现恶意威胁的信息窃取
探测网络和电子邮件攻击一一网络钓鱼和网络漏洞利用
探测网络中断行为
中断性应用—— P2P、即时讯息等
中断性服务—— SMTP中继、流氓DNS等
网络内容检测技术
2-7层协议检测
全面的应用支持(超过120种应用)
可疑活动关联性
文档内容扫描
全面发现SecureCloud服务
与威胁情报网络联手
?根源分析&关联性
?协议和应用声誉服务
威胁管理和汇报
?面向客户的威胁管理端口
? 每日管理报告一一事故响应
?执行报告——整体安全情况
离线部署
被动网络查找,不会中断服务
3.2产品特点
电于邮件卿件的恶意砌惡意威躺仑发式和行 为知潮关联性引擎惑I更好的1. ^MP0P3&IMAP监测阿銘邮杵
电于邮件卿件的恶意砌
惡意威躺仑发式和行 为知潮
关联性引擎惑I更好的
1. ^MP0P3&IMAP
监测阿銘邮杵
豔过公司邮件底务
t爾络层的威肋临
2*全面发现云安全厦务
根闕析和事件关秩性
?与廿卽也也脑威ftbf音报阿络联手
全面的诙报吿和管理
揉测网络攻击(冏络釣鱼
先进的些络谙求Jfi应关联
端点防病毒
信息发談
■
网络雄
忙用户网结潼量的悪蠢威 彌描清除
? 忤対恶負阿涮访冋
?对由恶意威胁造成的数据丢失风险的响应速度更快
?清晰的安全状态可见性所带来的主动安全架构规划
?尽早发现新威胁并做出响应,从而节省了损害清除费用
?破坏性应用程序检测,从而节省网络资源
?灵活的离线部署将网络中断降到最低
?个性化的威胁管理经验带来更高的客户满意度
3.3产品功能细节描述
3.3.1人性化的Web管理界面
在Web管理界面的Summary中可以清晰的体现出当前内网的威胁等级、 各种 安全威胁事件的计数等信息,并且可以根据安全威胁的种类以及外部、 内部攻击 分类。
ApphancB He:atthNcrrn nl
ApphancB He:atth
Ncrrn nl
332可以提供对各种即时通讯软件的扫描
Srlwt Appljciatiior Filbefb
1 ― _ B . . . 151
1 instant
Imitarrt Mej ssqi rts -3z?p Iizatiz>n3-
Sel-cted In jt4snt 5 s gi ng aq?p izst
i 口ny
AIM E叩ne岛
2hl:ka GMS ^BSsnqBr □Budcy
Googie Mik
KO2Gii
LLOVD:M v\lob ^10:cg ngM
IMunmv? m^ribpr rriesbo MSfJ
Skype
Vaf io_ ^tsL erij&r
iil
?-=」
-1
333可以提供对各种P2P软件的监控
三上匕 ~ r-e-q -亡亡才 ■afac-ni
Ares
AjP i rr^fjl- BlttlStBr
口aopnol Explknar
C'rBcCCo^inact
◎D ^nkc^S^ClU
an 口nfcs^_?-Mmta
?L 川 it ^-y
Fde#
FrFBA 畑
GnmO1
QnucCTMA GW=bCjth
3.3.4可以提供对各种流媒体数据的监控
streaming Medna
3tr?-?mmQ rn?Ji? ?日 plietion, $?l? de J ?tr?4rning rn?di?
丨j
^TSP/RDT-TCP ^TSP^DT-'JDP ^TSP^TP-TCP ^TSP./RTP- JDP
SHOUTCast
>JMSP
3.3.5 TDA内建24小时report内容,可以按照协议、侦测种类分类显示各类
已知、未知安全隐患
Kupurii倉* PiMipIiwIJmiIta. '■ ” Hi* IFh.li C3li?F<w ' . TrwflirRr>vrl OurwHon; P?M: Z-+ MvwvSrrarrtv RtiA Re-port
Kupurii
倉* PiMip
IiwIJmiIta. '■ ” Hi* IFh.li C3li?F<w ' . Trwflir
Rr>vrl OurwHon; P?M: Z-+ Mvwv
Srrarrtv RtiA Re-port
Numlber ml LnEnde-nis iHv Prutouiri
prcmncui
■ hTT^(1M.-±O%J
htjimhfir n# inriduHt* n* OPHacHrw* Tvfr
■ vrue/iAiixi^rH
[丄口o. cox
TnMr4rlmriif t hy tpmr of ttin d-nw
336趋势科技SecureCloud提供的每日管理报表。通过报表可以清晰了解当
前存在的安全隐患、感染客户机、以及提供处理建议
Security Incide nts
每日资安事件列
Critical 5e
Critical 5e匚urity Incidents CAtA OH ” hl管加"世血inE囱就兀"仙妝f 咖血in
1 fiiH-trKrne
IP Adklreu
nd JentTipe
Tiire □( Incdent
US-JAM ESP
10,2,160.41
lnf?ct?d witfl IRC Ibnt
9;54AM
US LDM
102 血 71
Infected with an IRC bot
7:34PM
US RONALD0 10,2*168.101 Infected with a ma^s mailcr B:S1PM
US-ERBERTA 10.2J68J21 Infected with a mass mailer ll:04PM
Incident Summary
Hvi匚kjerrt Name
Threat Type
Todtal AMiBctedl Cfiefhts
Infected with an IRC bet
Mal ware Related
2
Infected with a mass-mailer
Wdl vaie Related
2
US-JAM ESP 1
Critical Security Incident infected with an IRC hot
Threat Type
Process Name
Bet C&C Server
Port Number
Arrived via
Log Time
Mdware
SivhostreKe
61 E9 200.193
6567
Web
ia:53 PM
Incident Information
事件详细分析Fis client is infected with an IRC bot and has connected to a known Bat Comrnand and Control server, once connected to the server the Boi master tias can control the com promised client to perform a varety of malicious activities.
事件详细分析
Detailed Description
'f irrpact
Solution
Root Cause
Timeline of events:
February 11
> 7i7:.5J3jvj -Theuspr visits the URL www. hjddmn^inxnm/ind^K.php. Th<? wpbpagR
contained malicious code designed to exploit a vulrerabihty in th& userJs I iter net Explor?i browser.
* 1Q:51PM - The exploit downloads and executes a rr^lwsre into ttie Lser*^ >y5tem.
The malwsre a an IRC bat and is currently running as the process Sr vhoitexe
Preventive Action;
1防范建议Ensure that Internet Explorer
1防范建议
If passible, block the UR_ wv/w. I>ad d om a in xom/i ncl ex^ p li p
Infected with an IRC bot critical
Threat Type: Malv/are related
Affected ClientsHostnameIP AddressUS-J£MESP
Affected Clients
Hostname
IP Address
US-J£MESP
1
US-EDM
10.Z168.71
威胁说明及可能影响范围
IRC bpt fgi tlw p*nt 游
Description
Fhew machines arc infected with ikc bau, bou are maliciojs programs thacalhw remote attackers to have nearly full control over the corrpromised machines. They communicate with the "bat rridSterJlr via the use of the RC protocol The IRC bot connects to the bot masters IRC server (typically called a lamina nd and con:rolv server), from here it will join an IRC chat session and await comma nds from the bot mast^r?
Impact
Infect&d machinei can be used by etteckersto harvest sensitrve data
Infected machines ?n be used to corripromise other hosts within the network
# infected machinescan be used to perlorm demal of service attacksagamst external target.
Recommended Response
Immediate Action: Disconnect the machine from the internet to prevent the further communication between the mahvare author and the b&t.
Secondary Action: Scan this rnachire with antivirus solftv/are to locate and remove the malicious program.
四、部署说明
TDA采用离线配置模式,旁路连接在交换机上。交换机需开启镜像端口,将数 据导入TDA进行扫描。另外,需要在防火墙上开启相应策略,允许TDA注册到
趋势科技的Secure Cloud,由趋势科技后端计算中心定期提供威胁评估报表给 用户。