“高級(ji)威脅(xie)終端檢(jian)測及(ji)響(xiang)(xiang)應(ying)系(xi)統”CTDI是一款終端（桌面和服(fu)務(wu)(wu)器操作(zuo)系(xi)統）威脅(xie)檢(jian)測及(ji)響(xiang)(xiang)應(ying)EDR的(de)產品(pin)，采用服(fu)務(wu)(wu)器和客戶(hu)端的(de)部(bu)署(shu)架(jia)構，CTDI的(de)客戶(hu)端可以廣泛部(bu)署(shu)在Windows/Linux等操作(zuo)系(xi)統上，從內核態和用戶(hu)態詳細記錄“文件操作(zuo)”、“進程起停”、“注冊表修改”和“網(wang)絡連接”，將日志(zhi)匯總到CTDI的(de)服(fu)務(wu)(wu)器端，進行(xing)關聯分析和高級(ji)查詢(xun)。

CTDI是亞信安(an)全(quan)精密編(bian)排解決方案中(zhong)提(ti)供快速響應的專業調查工具，CTDI能夠與(yu)亞信安(an)全(quan)深度威(wei)脅(xie)發現設備TDA進(jin)(jin)行(xing)聯動驗(yan)傷，根據TDA從(cong)網(wang)絡(luo)上偵測到的威(wei)脅(xie)線索，在終端操作系(xi)統上進(jin)(jin)行(xing)關聯分(fen)析，快速評估威(wei)脅(xie)影響范(fan)圍和危害(hai)程度，提(ti)供自動化的驗(yan)傷報告，幫助用(yong)戶的安(an)全(quan)運維人員降低維護(hu)成(cheng)本(ben)，提(ti)高響應效率。

CTDI還能(neng)(neng)夠同亞信安全高(gao)級(ji)威(wei)(wei)脅(xie)情報平臺深度集(ji)成(cheng)，提(ti)供IOA/IOC等EDR增強威(wei)(wei)脅(xie)偵測和溯源分析功能(neng)(neng)，提(ti)升用(yong)戶(hu)威(wei)(wei)脅(xie)可視化能(neng)(neng)力。

產品總體架構

CTDI的設(she)計架構包括“探針層”、“服(fu)務器層”和“平臺層”。

“探針層”覆蓋了廣泛的(de)Windows和Linux操作系(xi)統，通過(guo)CTDI客(ke)戶端采集(ji)操作系(xi)統中的(de)文件操作、進(jin)程啟停(ting)、注(zhu)冊(ce)表修改和網(wang)絡連接等信息，通過(guo)心跳連接，定期發送至CTDI的(de)“服務(wu)器層”。

“服務(wu)器層”集中(zhong)收集并(bing)且長期(qi)存儲(chu)客(ke)戶(hu)端(duan)上傳(chuan)的(de)行為記錄，通(tong)過核心算法(fa)進(jin)行威(wei)脅可(ke)視化(hua)呈現，還(huan)可(ke)以根據云端(duan)威(wei)脅情報模塊定期(qi)推(tui)送的(de)IOA/IOC進(jin)行本(ben)地(di)日志的(de)回(hui)溯掃描和(he)實(shi)時監控，檢(jian)測出(chu)基于無文件攻(gong)擊的(de)高級威(wei)脅。CTDI對外提供(gong)了驗傷(shang)API接口(kou)，能夠自動化(hua)地(di)根據威(wei)脅線(xian)索(suo)進(jin)行本(ben)地(di)驗傷(shang)和(he)擴展線(xian)索(suo)的(de)排(pai)查，為用戶(hu)出(chu)具精(jing)密編排(pai)的(de)驗傷(shang)報告。

“平(ping)臺(tai)層”可(ke)以是流行的(de)“態(tai)勢感知平(ping)臺(tai)”/SIEM/SOC，也(ye)可(ke)以是APT監控設備(bei)，例如TDA。這些平(ping)臺(tai)和設備(bei)可(ke)以通過(guo)驗(yan)傷API接口(kou)把需要調查溯源(yuan)的(de)安(an)全線索發(fa)送給(gei)CTDI，并且(qie)接收(shou)CTDI的(de)驗(yan)傷結果。

使用場景

“傳統(tong)安(an)全(quan)”是(shi)基(ji)于黑白(bai)名單對“已知威脅”進行阻(zu)斷，其檢(jian)測(ce)率和響應速度(du)已經無法有(you)效應對新型“高級威脅”，代表(biao)技術(shu)包(bao)括傳統(tong)EPP、防火墻和入侵檢(jian)測(ce)系統(tong)。

由于產業互聯網時代外部環境發生了重大變化，我國頒布的《網絡安全法》明確提出了快速響應的要求，因此“新型安全”是基于“行為特征”來有效檢測“高級威脅”，強調快速響應和恢復補救，代表技術包括EDR、APT監控設備和沙箱。

CTDI從操(cao)作系統內核(he)態、用戶態高清記(ji)錄操(cao)作系統中(zhong)的文件(jian)、進(jin)程、注冊表和網絡連接等信息，根(gen)據安(an)全事件(jian)的線(xian)索，通過(guo)關聯(lian)分析(xi)，對(dui)攻擊過(guo)程進(jin)行可視化呈現，極大地提(ti)升快速調查響應的效(xiao)率和效(xiao)果。

功能

• 安裝在操作系統上的高清攝像頭
• 服務器端大容量存儲和高性能關聯分析
• 攻擊可視化
• 文件流轉視圖
• IOA/IOC 功能幫助用戶事前偵測威脅，對熱點安全事件進行自我排查
• 聯動驗傷功能
• EPP和EDR融合部署管理
• 以溯源分析模塊方式同態勢感知平臺集成

優勢

• 內核態操作系統行為高清記錄
• 廣泛的操作系統支持– Windows & Linux
• 強大的威脅狩獵（Threat Hunting）和攻擊可視化
• 精密編排聯動驗傷API接口同TDA集成，自動化分析報告降低用戶安全運維技術門檻
• 同OfficeScan融合部署管理，符合國際EPP+EDR融合的技術趨勢
• 同態勢感知/SIEM/SOC平臺雙向集成，提升平臺的溯源分析能力