AD域控入侵监测与防御系统
面向企业核心AD域控基础设施的监测防御系统
产品概览
NG-SEC®安域 AD域控入侵监测与防御系统,是一款针对Windows AD域的安全管理产品,旨在协助企业构建应对高级AD域威 胁活动的能力,通过对域内日志、流量、行为数据的即时分析,识别域内安全风险,并根据处置工作流实施全自动漏洞修 复、配置完善与攻击阻断。智域作为企业办公网安全防线的核心环节,可辅助企业建立域环境的整体安全防护体系,具备 应对针对公司级别高级攻击活动的感知与预警能力。
域控安全评估技术是通过低侵入式的方式,以检测并提升域防御体系有效性为核心目的,从域控安全认证、域控安全历史 漏洞和域安全管理配置等多个维度着手,发现用户域安全防御能力的问题和缺陷,并提出切实可行的改进思路和建议,帮 助用户不断完善域安全体系建设,提升对抗新兴威胁的能力。
技术架构方案
通过收集所有域控上的事件日志和 kerberos 流量,通过特征匹配、Kerberos协议分析、历史行为、敏感操作和蜜罐 账户等方式来检测各种已知与未知威胁,威胁检测项覆盖了目前大部分常见的内网域渗透手法。
信息探测
使用SAMR查询敏感用户组、使用 SAMR 查询敏感用户、蜜罐账户的活动、PsLoggedOn 信息收集等。
横向移动
账户爆破、目标域控的远程代码执行、未知文件共享名、Kerberos票据加密方式降级、异常的Kerberos票据请求等。
权限提升
组策略监控、NTLM中继检测、基于资源的约束委派权限授予检测、未知权限提升、Kerberos约束委派滥用等。
产品优势
NG-SEC® Suite为先进的企业网络提供多供应商设备支持,包括金融,电信,能源和公用事业,医疗保健,零售,教育,政府,制造,运输和审计。 NG-SEC®的技术联盟与行业领头者紧密合作,以提供屡获殊荣的NG-SEC® Suite与他们的解决方案的无缝集成。
检测覆盖广,准确度高
检测的维度覆盖了整个内网攻击杀伤链的大部分常见攻击手法。
从横向移动到权限提升,从凭证窃取到权限维持,监控高级域渗透活动。
从多个维度的数据进行关键点分析,确保攻击者无法绕过我们的检测。
兼容性好,轻量化部署
在所有域控服务器上安装数据收集终端,对网域环境没有任何影响。
不做任何侵入式部署,收集终端对域控服务器的负载控制在极低的范围内。
只需在域控安装Agent,连通域控所在网络,配置安装检测引擎即可。
降低管理的复杂性
通过一个单一虚拟管理平台管理企业防火墙、私有和公共云的安全策略。
利用标准的拓扑映射和分析,确保网络和应用的连接。
利用网络分段集中控制降低攻击面积,提升架构整体安全。
私有云和公有云
通过单一平台管理和控制企业安全性-适用于本地部署的物理设备和下一代防火墙,以及安全组和混合云平台。
简化安全策略管理。
使用单个控制台确保整个企业的一致安全性和合规性。
网络安全
通过识别现有的风险或不合规访问并自动停用规则来减少攻击面。
通过跟踪和重新认证或消除对安全策略的违反,保持较佳的策略运行状况和合规性状态。
模拟访问以识别攻击的易受攻击的访问路径(例如WannaCry),以评估您的网络被利用的可能性。
对网络进行分段,以增强对网络区域的控制,并在安全事件期间确定可缓解的易受攻击的访问。
利用受支持的集成将自动化扩展到您的安全操作,例如事件发现,事件遏制和事件响应。
物联网
NG-SEC的统一安全策略使网络和IT安全团队能够有效应对物联网并管理网络分段。
基于中央区域的安全策略可以应用于整个网络,所有平台。
在整个复杂的异构IT环境中,跨物理和混合云平台协调整个企业网络中的所有安全控制,可以增强网络安全性。
下一代防火墙
协调整个混合网络中的防火墙策略更改,包括更改应用程序身份,用户身份和内容身份。
监视,分析和优化防火墙策略,包括应用程序和用户身份以加强安全状况。
为下一代网络建模准确的网络拓扑图。
从一个单一窗格管理完全不同的安全策略,以在整个混合IT基础架构中进行可见性和监视。
自动执行防火墙清理,网络安全策略更改和应用程序配置。
软件定义的网络
跨物理,虚拟和混合网络管理和控制微细分。
通过单个接口集中管理整个数据中心中防火墙,路由器和交换机的安全策略。
在进行政策更改之前,评估风险状况并进行风险评估。
企业客户案例