安全产品调研.pptxVIP

FireEye安全产品生态;FireEye安全产品简介;MVX引擎的基本过程;自适应防御机制（服务） 利用MVX技术发现潜在的威胁，并结合安全专家的辅助决策服务，实现有人在回路的自适应的响应，有效将服务和产品整合在一起。Fireeye是第一个家将咨询和产品集成一起的企业，实现了安全及服务SaaS。 企业取证产品 可实现快速的安全事件调研和响应 能实现分析攻击者的策略并评估其影响 通过多种数据源来确定攻击的入口 通过数据包负载以及文件传输行为，确定是否存在数据偷取 横贯企业全网的集中安全可视化 对企业网中的数据和活动进行展示 支持对HTTP、SMTP、Pop3、IMAP、SSL/TLS、FTP和SMB协议数据的感知 支持对网络数据和事件的多种自由度的查询（应该是一种分析工具） ?猜测：应该是根据网络结构在交换机和路由器上设置了很多数据采集器，并且根据数据采集的分析结果建立全网的态势分析，应该不包含终端的采集器。 ;移动安全 阻止利用移动设备实施的网络攻击。具体地，可以检测工作移动设备（Phone、Pad等）上是否存在恶意的apps。从网络上阻止恶意apps的行为并通知用户。 可以检测apps是否存在漏洞，对多达300多万个apps进行了抓取和数据分析，提供了对每个app的打分。 提供快速事件相应，集成MDM和快速的修复。支持向手机或app制造商提供咨询服务。 ?猜测：Mobile Security应该是由手机终端的扫描器和网络出口的apps流量识别共同组成的系统。FireEye应该还有一个app分析的大型的基础设施，可实施app分析，并构造大量的恶意apps的IOC，并且能在网络边界上进行检测（即通过企业wifi上网的企业员工用户）。Fireeye的技术能力的确领先业界。 ;网络安全NX 网络安全NX设备的功能是可以检测已知的恶意程序（通过IOC）或者未知的威胁（通过MVX），另外可以和其他的网络安全设备进行联动。 为了增强对加密数据流的感知能力，Fireeye还开发集成了SSL的可视化设备。SSL可视化设备在BlueCoat的产品里面有存在，这充分说明靠SSL来隐藏什么东西是不现实的。 另外在高级版本的NX中还支持基于机器学习的先应式检测（不知道具体效果和原理），支持对各种加壳的检测，支持基于云的事件分析，支持对VIP手机用户的管控，支持从检测到相应的Workflow、支持自动化配置和管理 ?猜测：网络安全NX的实施应该是在企业网出口的路由器的类似于IDS的集成度更高的设备，可以对进出的流进行分析。 ;终端取证 MIR（ Mandiant Intelligent Respeonse ）主要用来帮助组织管理者对偷窃数据的行为进行响应，可以识别攻击者的行为、工具和进程，实施分析内存中是否包含潜在的恶意程序。 支持在内网中分析上千个节点的间谍程序活动，支持远程的获取终端上的调查审计数据，也可以对特定的取证数据进行过滤分析等。 支持快速的终端安全事件响应。 猜测：终端取证应该可以看做是终端软件+中控软件的模式，终端软件可以在终端上进行恶意软件的分析和监测，中控软件可以通过内网的网络实现统一的安全态势的感知以及对目标主机的调查数据的远程获取。 最为核心的终端监测软件的恶意程序的IOC应该是通过FireEye机遇云的TAP来分发的。 终端安全HX 猜测：应该是终端取证的一部分？;威胁分析平台 Threat Analytics Platform（TAP，威胁分析平台）是FireEye产品体系的大脑。TAP是进行数据关联、分析和威胁识别的处理引擎。FireEye将这个引擎放到了云上，用户可以上传数据，并通过访问云端平台获得威胁分析的结果，同时一些新的IOCs（Indicators of Compromises）和Profiles也通过TAP同步到本地。 TAP可以提供企业范围的可视化，集成监测的专家意见和指导调查的工作流，可再更高的层次上来支持防御功能。 TAP的分析对象是大量的日志信息，可以从海量的大量的事件数据中挖掘出潜在的威胁。 ;电邮安全 电邮安全ETP是将企业网邮件导入到ETP云商，实施监测的技术，它可以分析各种类型的附件并发现威胁，也可以和网络安全的NX设备进行联动。 中控管理 是火眼威胁情报分发的HUB，可以保证火眼生态系统中的其他产品能共享必威体育精装版的情报数据。 文件内容安全FX 主要是针对流入流出网络的文件进行扫描。 恶意软件分析系统AX 可以利用MVX来进行攻击过程的分析，对可以的网络代码、可执行文件进行流水线地自动批量分析，可以在运行过程中对其程序行为以及网络行为进行记录和分析。支持Mac和Windows，可以和FX等联动。 猜测：AX系统可以是火眼云端的基础设施，也可能是轻量的可再本地部署的防御系统部件。 ;Blue Co