By: Antkoders 20/12/2018

Core Platform

Phần mềm giám sát tổng thể Core Platform
Giá thành: 103.027.000.000 đ

1. Tính năng chung:

Giúp cho nhóm an toàn bảo mật phát hiện và hiểu được toàn bộ phạm vi của cuộc tấn công, bằng việc phân tích dữ liệu và hành vi xuyên suốt tổ chức
Làm giàu thông tin về an toàn thông tin và kinh doanh thông qua log, packet, endpoint và Netflow
Chuyển đổi dữ liệu thành các thông tin hữu ích thông qua việc làm giàu bằng các ngữ cảnh hoạt động kinh doanh cũng như các nguồn nguy cơ từ bên ngoài.
Thu thập và phân tích chuyên sâu theo thời gian thực các thông tin từ log, packet, Netflow sử dụng machine learning, phân tích hành vi người dùng và nguồn nguy cơ bên ngoài.
Cảnh báo tương quan và sử dụng IOC giúp cho việc phân tích an toàn thông tin và phát hiện cũng như xử lý các mối nguy cơ trước khi kẻ tấn công gây ra hậu quả.
Có khả năng tìm kiếm, truy vết các mối nguy cơ với các công cụ mạnh cũng như trai nghiệm người dùng tốt. Khả năng tìm kiếm có thế nhanh chóng đánh giá và thấu hiểu toàn bộ phạm vi của cuộc tấn công, và phản ứng lại nhanh chóng.


2. Log và Packet
Khả năng đánh chỉ mục và tương quan theo thời gian thực các dữ liệu thu thập được thông qua log, packet, netflow.
Tái tạo sự kiện (email, web) để phát hiện tấn côngPhát hiện các hành vi nguy hiểm chưa được biết”Cung cấp các công cụ phân tích bao gồm:
• Sessionize: Tái tạo phiên từ các lưu lượng tới lớp 7 giúp nhanh chóng tái tạo sự kiện nếu cần thiết để phân tích chuyên sâu.
• Data Enrichment: Thêm các thông số về độ rủi ro và các thông tin về ngữ cảnh kinh doanh cho mỗi phiên.
• Threat Intelligence: thêm các thông tin về nguy cơ từ Internet.
• Indexing: đánh chỉ mục và lưu trữ thông tin vào database.”


3. Endpoint
Giám sát liên tục hoạt động của Endpoint, dù thiết bị đó có kết nối vào mạng lưới hay khôngPhân tích memory, ổ cứng, kết nối mạng, các hành vi bất thường của người dùng.
Tự động thực hiện scan khi Endpoint phát hiện file lạ, các tiến trình được khởi tạo.Loại trừ các Endpoint có vấn đề ra khỏi mạng lưới


4.UEBA
Phân tích hành vi bằng Machine LearningThu thập thông tin một cách trong suốtĐơn giản hóa bộ đánh điểm nguy chơRất nhiều use case hữu dụngThuật toán hỗ trợ giảm thiểu phát hiện sai”Các ứng dụng của UEBA: 
• Insider threat
• Brute force
• Account takeover
• Compromised account
• Privilege account abuse and misuse
• Elevated privileges
• Snooping user
• Data exfltration
• Abnormal system access
• Lateral Movement
• Malware activity
• Suspicious behavior”


5. Orchestrator

  • Tự động hóa thông minh
  • Cộng tác phân tích điều tra
  • Hỗ trợ tự động tạo các nhóm tương tác khi có sự cố (was room)
  • Hỗ trợ Machine learning
  • Hỗ trợ Threat Intelligent hub
  • Hỗ trợ tích hợp với SIEM, firewall, EDR, sandboxes,….
  • Tùy chỉnh các bản đồ về các sự cố trong hệ thống
  • Tuỳ chỉnh bằng đồ hóa các báo cáo và dashboardHỗ trợ các nền tảng mở rông (Python, Javascript)
  • Theo dõi SLA một cách toàn diệnTính năng tuân thủTriển khai linh hoạt

6. Hiệu năng yêu cầu

  • Lưu lượng được thu thập tối thiểu 1 Gbps hoặc 11TB 1 ngày- Log thu thập được là 5500 EPS hoặc 250 GB / 1 ngày.
  • Hỗ trợ license quản lý cho 6700 Endpoint
  • Thời gian lưu trữ thô: Tối thiểu 7 ngày
  • Thời gian lưu trữ dữ liệu đại diện sau khi đã phân tích xử lý từ dữ liệu thô : Tối thiểu 60 ngày.Cung cấp bao gồm:
  • 01 License chức năng thu thập phân tích gói tin, đáp ứng khả năng phân tích gói tin 11TB/day (tương đương tổng băng thông 1Gbps)
  • 01 License chức năng thu thập, phân tích và xử lý log trên toàn hệ thống với EPS trung bình 5500 EPS (250GB Log/ngày)
  • 01 License chức năng phân tích hành vi bất thường và cảnh báo tấn công sớm- 01 License chức năng quản lý hoạt động SOC- License phân tích điều tra trên máy trạm, endpoint cho 9000 endpoints- License 9000 UEBA phân tích bất thường từ hành vi- Hỗ trợ kỹ thuật và cập nhật trong 3 năm

Phần mềm phát hiện và ứng phó cho điểm cuối EDR
Giá thành: 29.038.000.000 đ

Các yêu cầu chung:
– Sử dụng giải pháp Endpoint Security nhằm đưa ra báo cáo về các hành vi bất thường trên máy tính, đặc biệt là các  tấn công có chủ đích APT.
– Sử dụng công nghệ phân tích và xử lý tập trung- Sử dụng các cảm biến thông minh (<1% CPU) để thu thập và xử lý các cuộc tấn công, mã độc thôngthường và tinh vi
– Cung cấp giao diện khép kín để điều tra các cuộc tấn công: Detection – Investiagation – Response.
– Thu thập dữ liệu
 Giải pháp phát hiện và ứng phó cho điểm cuối EDR cần có khả năng thu thập được đa dạng các thông cả mức người dùng và mức nhân (kernel) hệ điều hành để cung cấp dữ liệu cho việc phân tích, phát hiện các mã độc, hành vi bất thường. Các thông tin tối thiểu mà một cảm biến của giải pháp phát hiện và ứng phó cho điểm cuối EDR khi được cài đặt trên các máy chủ, máy trạm có thể thu thập được bao gồm:
– Thông tin khởi tạo và kết thúc một tiến trình
– Thông tin về sự thay đổi quyền hạn của một tiến trình
– Thông tin về phiên làm việc của người dùng như đăng nhập, đăng xuất
– Thông tin về các kết nối mạng
– Thông tin liên quan đến dịch vụ như tạo, xóa, thay đổi
– Thông tin về các thay đổi liên quan đến registry
– Thông tin về việc thay đổi thiết lập bảo mật của điểm cuối
– Thông tin về việc vi phạm các chính sách bảo mật được thiết lập trên điểm cuối
– Các thông tin về thông số của điểm cuối
 Khả năng cảnh báo trên Endpoint: Giải pháp phát hiện và ứng phó cho điểm cuối EDR cần hỗ trợ các cơ chế khác nhau sử dụng trong việc xác định các mối đe dọa tinh vi đồng thời giảm thiểu được các cảnh báo sai (false positives). Các cơ chế cần được hỗ trợ bao gồm:
– Cơ chế phát hiện dựa trên quy tắc (rule), phân tích hành vi (behavioral  analytics): cho phép khám phá các hành vi tấn công và xác định các dấu hiệu xâm phạm dựa trên việc sử dụng các quy tắc được định nghĩa trước. Một hành vi hoặc một chuỗi các hành vi dẫn đến việc vi phạm các quy tắc được định nghĩa sẽ được coi là dấu hiệu tấn công, xâm phạm. Việc phát hiện có thể được tăng cường bởi việc kết hợp với thông tin từ các nguồn thông tin tình báo mạng.
– Cơ chế phát hiện dựa trên các thuật toán máy học (machine learning): sử dụng công nghệ dữ liệu lớn kết hợp với các thuật toán máy học để đánh giá các thông tin thu thập được từ các điểm cuối để xác định các bất thường về một hay nhiều khía cạnh so với baseline đã được hồ sơ hóa trong quá trình học. Việc sử dụng các thuật toán máy học cho phép phát hiện ra các mẫu của các mối đe dọa chưa được biết đến đồng thời giảm thiểu tối đa các cảnh báo sai.
 Điều tra, giám định, chủ động săn tìm mối đe dọa
Các thông tin liên quan đến các bất thường,  sự cố đã được phát hiện có thể được điều tra thông qua giao diện trực quan và công cụ tìm kiếm, cho phép tìm kiếm mọi hoạt động của hệ thống và hoạt động của người dùng đã được ghi lại bởi cảm biến.Giải pháp phát hiện và ứng phó cho điểm cuối EDR cần có khả năng cung cấp được các dữ liệu để hỗ trợ việc điều tra, giám định theo thời gian. Các dữ liệu tại một thời điểm bất kỳ (tối thiểu trong vòng 6 tháng) trên bất kỳ điểm cuối nào đã được cài đặt cảm biến đều có thể được trích xuất, kể cả trong trường hợp điểm cuối đã offline hoặc không còn tồn tại tại thời điểm thực hiện việc điều tra.Việc chủ động săn tìm các mối đe dọa (threat hunting) cần được hỗ trợ thông qua tính năng tìm kiếm trên bộ nhớ của host hoặc tiến trình, tìm kiếm trên binary sử dụng công cụ tìm kiếm dựa trên YARA. Việc tìm kiếm có thể được thực hiện trên một điểm cuối hoặc đồng thời trên nhiều điểm cuối.Hỗ trợ tính năng tìm kiếm trên bộ nhớ memory, hỗ trợ dump memoryỨng phó với mối đe dọa
 Giải pháp phát hiện và ứng phó cho điểm cuối EDR cần cung cấp khả năng phản ứng lại đối với các mối đe dọa đã được phát hiện. Việc phản ứng có thể được thực hiện thông qua các hình thức khác nhau,trong đó bao gồm:- Giám sát và thiết lập các chính sách đảm bảo an toàn thông tin trên Endpoint.
– Sensor hoạt động dưới tầng kernel tạo khả năng phản ứng và phát hiện sự cố tinh vi
– Có khả năng phân tích, xử lý dữ liệu lớn, hỗ trợ ứng phó và xử lý các tình huống mất an toàn thông tin khẩn cấp trên diện rộng.
– Ngăn chặn các kỹ thuật khai thác 0-day dựa trên hành vi của các tiến trình
– Ngăn chặn việc thực thi một tệp tin
– Tạm dừng hoặc chấm dứt một tiến trình đang chạy
– Ngăn tiến trình đang chạy thực hiện việc kết nối mạng
– Ghi lại thông tin bộ nhớ của điểm cuối (snapshot)
– Cách ly điểm cuối thông qua việc ngắt các kết nối mạng
– Thay đổi trạng thái của điểm cuối như tắt, khởi động lại hoặc chuyển sang chế độ ngủ
– Vô hiệu hóa người dùng
– Xóa các registry key
– Thực thi các câu lệnh trên điểm cuối
Hệ thống đảm bảo khả năng kết nối linh hoạt để chia sẻ dữ liệu với các hệ thống Giám sát tập trung theo các quy định chung.  
– Triển khai:Hỗ trợ phần lớn các nền tảng Window và Linux
– Cung cấp bao gồm: 9000 license phần mềm cho endpoints (Server + PC + Laptop)

GỬI CÁC YÊU CẦU CỦA BẠN TẠI ĐÂY

Contact us

Partner

  • Antkoders-Partner
  • Antkoders-Partner
  • Antkoders-Partner
  • Antkoders-Partner