新华三北望-安全威胁发现与运营管理平台-新华三集团-H3C

产品特点

多样化数据采集

支持各种网络设备、安全设备、主机及应用日志采集

采用主动、被动技术实时采集网络中的异构海量日志；支持SYSLOG协议、HTTP/HTTPS被动采集，FTP、数据库主动采集，部署代理等多样化日志接入

支持海量日志集中存储或分布式存储，满足快速查询的海量日志的要求，支持对相同或同类安全日志进行合并，形成安全事件台账。

支持日志范式化和日志分类，可以和不同厂家日志与系统的快速适配，并根据实际需求进行适配

基于AI的智能化威胁分析

内置多个AI分析场景，单独分析场景化威胁展示

基于现有安全事件，依托攻防专家经验，关联资产、情报等多维信息，提供“专家级”推理分析

支持灰色事件判断功能，利用泊松分布、C段分布、AI自学习等模型对安全告警和审计日志的多次检测，将误报安全事件自动化处置，从而发现和减少误报，帮助安全运维人员节省大量误报安全事件分析时间

引入监督学习、强化学习等AI人工智能算法，利用“知识大脑”推理检测已知及未知类型的复杂攻击，全面掌握规模群体性事件的感染路径

建立行为基线，通过资产/用户的流量、动作等行为的偏离情况，判断各类异常行为

支持结合日志信息和威胁情报信息发现潜在的恶意IP/URL/MD5/域名等信息

全过程溯源取证

针对攻击全过程进行多维度分析，可视化绘制出完整的攻击链条

对安全事件进行回溯和调查，主动对攻击过程进行抓包取证，提供完整攻击证据

针对NAT应用场景，基于IP和时间段信息，追溯地址转换关系，并呈现对应的安全事件

利用云端丰富的实时威胁情报和本地的网络行为、终端行为、文件信息，覆盖攻击的源头、手段、目标、范围等相关信息，对发现的未知威胁进行快速溯源和定性

自动化编排与响应

根据发现的安全事件，自定义安全响应剧本，根据防护需要调整处置步骤

响应处置动作类型多样，包括黑名单阻断、访问控制、告警、工单处置、用户下线、主机病毒查杀及隔离等操作

不仅可以针对FW、IPS、WAF、ACG等常见安全设备进行调度，更可以对交换机、路由、无线AP等网络设备进行调度

规范处置流程，提升安全管理水平

漏洞全生命周期管理

主动扫描网络安全漏洞，支持第三方漏扫结果导入

通过工单任务实现了漏洞加固任务的下发、审核、复验等功能

支持漏洞加固任务处置状态跟踪，对超期未处理任务可进行短信提醒

支持人工或工具的方式对漏洞进行复验。并根据验证结果自动同步漏洞当前状态

产品功能

新华三安全威胁发现与运营管理平台通过采集全网原始流量数据，结合云端的威胁情报，对海量安全数据进行挖掘和关联分析，对攻击、威胁、脆弱性、流量和行为等五大态势进行感知，生成全方位的安全全景视图，使用户能够快速准确地掌握网络当前的安全态势，并以此为依据进行联动响应。

项目	功能
环境温度	工作：5～35℃ 非工作：-40～65℃
环境湿度	工作时：10%~80% 非工作：5～95%，无冷凝
安全态势展示	支持网络攻击态势展示、威胁态势展示、脆弱性态势展示
关联规则	实时关联分析：在一定时间窗口内对日志进行关联，实时的给出相关告警，并支持查询相关原始日志
关联规则	支持自定义关联规则，用户可以定义基于逻辑表达式和统计条件的关联规则，实现基于时间、主客体、行为特征等多维的关联分析
威胁告警	受到网络攻击后，可以通过短信、邮件等形式向用户进行告警
威胁告警	支持自定义威胁告警
威胁分析	针对受到的威胁事件，还原攻击过程
日志审计	对收到的日志进行进行审计
行为画像	支持用户行为画像，显示用户一段时间内的行为轨迹
流量统计	支持互联网应用流量分析、内网资产流量分析、用户流量分析
运维监控	支持资产、资产组：资产包括主机设备、网络设备、安全设备、中间件、数据库、应用系统
运维监控	资产管理：支持手工添加、导入，支持资产自动发现
安全编排及响应	支持安全处置编排，可自动下发并执行响应动作
报表	支持日报、周报、月报和自定义周期报告，支持基于区域、资产、资源事件类型、等级，自定义报告输出
权限管理	支持三权分立，用户登录时可以对用户进行本地和外部认证。
系统管理	支持系统状态监控，包括服务节点监控和服务进程状态监控。支持通过短信、微信、邮件等多种方式进行告警
集中管控	支持多级管理，统一登录，包括NTA探针、NDR探针、CSAP平台等