安全檢測與響應管理平臺需求說明

安全檢測與響應管理平臺需求說明序號貨物名稱技術(shù)要求1安全檢測與響應管理平臺（XDR）1、純軟件，支持集群部署，可實現(xiàn)橫向擴展彈性擴展，至少包含3個節(jié)點，虛擬機方式部署；虛擬機資源由采購方自備，至少提供3臺虛擬機，每臺虛擬機配置：CPU≥40核，內(nèi)存≥128G，系統(tǒng)盤≥240G,數(shù)據(jù)盤≥40T：2、平臺基于ClickHouse、Flink、pulsar、MongoDB、分布式存儲的框架架構(gòu)，可提供具備彈性擴展能力和數(shù)據(jù)高可靠的基礎(chǔ)平臺。3、配套提供第三方日志分析模塊、SOAR自動編排模塊、云端威脅情報模塊、安全事件深度挖掘模塊、移動運營小助手；要求：1）支持接入第三方品牌的網(wǎng)絡安全數(shù)據(jù)進行呈現(xiàn)、并匯入分析模塊進行安全事件的分析和調(diào)查。2）提供可視化拖拽方式靈活自定義編排威脅的響應處置，實現(xiàn)半自動化、自動化聯(lián)動安全設(shè)備進行分析研判、響應處置，內(nèi)置“半自動化通用攻擊事件處置閉環(huán)劇本”及眾多場景劇本樣例，也可自定義編寫成客制化劇本，滿足不同環(huán)境分析、決策、響應動作。3）提供未知文件/DNS/URL/IP等云端實時查詢，可實時展示本地IOC在內(nèi)部網(wǎng)絡和全行業(yè)社區(qū)的出現(xiàn)情況，支持云端專家實時分析互聯(lián)網(wǎng)熱門威脅事件、漏洞等，分析事件對于組織的影響程度和修復建議。4）支持海量灰度規(guī)則+多引擎分析，可基于云端數(shù)據(jù)湖，對海量線索和數(shù)據(jù)進行灰度規(guī)則和私有引擎二次分析，狩獵師研判后生成報告；可基于狩獵分析師的經(jīng)驗固化成檢測模型，對于未知不確信的告警進行深度調(diào)查關(guān)聯(lián)，自動化生成安全事件并推送；支持針對XDR平臺產(chǎn)生的安全事件，云端專家介入做研判，進一步保障事件檢出的準確性。5）支持安全事件推送，對平臺產(chǎn)生的安全事件（非告警）、云端狩獵挖掘的事件、最新發(fā)生的新型威脅影響評估報告等事件，可以推送到服務號，隨時掌控安全態(tài)勢；支持移動處置運維，平臺移動運維小程序可以實時展示安全事件的詳情信息，并且聯(lián)動網(wǎng)絡/端點設(shè)備一鍵處置威脅；提供移動專家直連咨詢，遇到不好理解、不易分析、難以處置的安全事件，可以立即聯(lián)系專家協(xié)助處理。4、提供基礎(chǔ)的網(wǎng)端、終端側(cè)的檢測數(shù)據(jù)接入和處理,實現(xiàn)對告警日志、遙測數(shù)據(jù)、審計信息的存儲和檢索。對跨安全產(chǎn)品的檢測和響應機制提供基礎(chǔ)的信息匯聚、存儲、關(guān)聯(lián)和分析能力,包含管理平臺、檢測響應分析引擎、數(shù)據(jù)湖模塊、儀表盤、安全事件檢索與調(diào)查、報表、基礎(chǔ)大屏等功能。5、支持以標準Syslog、Kafka、SNMPTrap、JDBC、FTP、SFTP、Winlogbeat/Filebeat接收安全設(shè)備、網(wǎng)絡設(shè)備、操作系統(tǒng)、應用系統(tǒng)、中間件、服務等各類第三方設(shè)備日志并存儲，如防火墻、上網(wǎng)行為審計、應用交互、態(tài)勢感知、掃描器、抗DDoS、DLP、UTM、IPS、IDS、WAF、漏掃等。6、支持對事件執(zhí)行劇本和動作；支持展示當前已編排的劇本，同時可在該頁面新建劇本；內(nèi)置節(jié)點庫，支持自動化執(zhí)行節(jié)點、過濾型節(jié)點、人工介入和標記型節(jié)點，具備支持動作、過濾、決策、文本、審批、錄入等，支持圖形拖拽連線形成完整事件處置流程劇本；支持通過類似Visio的拖拽方式靈活自定義編排威脅的響應處置流程，并支持多種執(zhí)行節(jié)點包括：動作調(diào)度、劇本應用、決策器、過濾器、人工審批、人工錄入等必要的關(guān)鍵節(jié)點；支持自定義觸發(fā)能力（自動和手動），可以基于安全告警、脆弱性的執(zhí)行條件進行觸發(fā)；支持配置通知策略，同時可以基于不同的通知場景自定義不同的通知方式及通知模板；支持通過標簽對聯(lián)動設(shè)備進行管理，可以在配置劇本和執(zhí)行動作時，通過選擇標簽，快速對具有相同使用場景的設(shè)備進行指令下發(fā)；可展示當前XDR中已對接的應用，支持網(wǎng)絡安全設(shè)備的聯(lián)動，包括防火墻、EDR、即時通訊、威脅情報等進行聯(lián)動，實現(xiàn)對威脅的快速響應與處置；支持待我審批功能，可顯示當前用戶所有待審批劇本節(jié)點；支持從安全事件、安全告警、脆弱性頁面查看其關(guān)聯(lián)的劇本執(zhí)行詳情。7、支持一鍵遏制功能，可聯(lián)動對應端側(cè)組件（如EDR）和網(wǎng)側(cè)組件（如防火墻）端網(wǎng)能力針對IP、主機等各類實體進行一鍵處置，同時針對于IP可支持展示具體IP地址、風險標簽與網(wǎng)絡類型等，針對主機可展示資產(chǎn)名稱與責任人。8、支持資產(chǎn)清點，可通過開放端口、應用軟件、數(shù)據(jù)庫、web服務、web框架、web應用、web站點、賬號信息、運行進程、運行服務、啟動項、計劃任務、注冊表維度進行資產(chǎn)清點。清點可展示相關(guān)資產(chǎn)列表，包含IP地址、資產(chǎn)責任人、數(shù)據(jù)源、互聯(lián)網(wǎng)暴露情況、關(guān)鍵進程等維度。9、支持智能對抗，要求：1）可智能響應安全事件和安全告警中的關(guān)鍵威脅，針對于高置信度的重復或低危威脅實體可實現(xiàn)全自動化遏制閉環(huán)，可支持頁面展示事件自動遏制率，可查看智能對抗記錄及自定義對抗規(guī)則；2）支持業(yè)務優(yōu)先和安全優(yōu)先的模式切換，可匹配日常運營場景和攻防場景，同時針對于模擬試用場景，支持選擇監(jiān)測模式；3）支持針對網(wǎng)絡設(shè)備、端側(cè)設(shè)備進行聯(lián)動配置以及針對新接入設(shè)備自動添加到智能響應，同時還支持設(shè)置IP封堵范圍和自定義智能響應生效時段；4）支持基于時間、實體類型、處置狀態(tài)和實體描述來篩選智能響應記錄，并支持針對IP、域名、文件等不同實體類型設(shè)置響應黑白名單；10、支持威脅實體自動提取，要求：1）安全事件響應處置支持對遏制威脅的實體對象自動提取，包括自動化提取安全事件中需要響應處置的“IP、域名、主機、進程、文件”五類實體，查看實體詳情列表；2）針對IP實體支持導出、復制IP、封禁地址、再次封禁、解除封禁、查看情報等操作，針對主機實體支持隔離主機、導出等操作，針對文件實體支持處置文件、導出、查看請報等操作，針對進程實體支持阻斷進程、導出、查看請報等操作，針對域名實體支持處置和復制域名、導出、再次處置、解除處置、查看請報等操作。11、支持攻擊指標檢測，對攻擊者的攻擊手法進行檢測，指標覆蓋ATT&CK所有階段攻擊手法，以檢測攻擊準確性為目標，通過采集的網(wǎng)端數(shù)據(jù)進行研判、挖掘?？梢园l(fā)現(xiàn)高級威脅。支持自定義IOA規(guī)則。支持終端遙測源對ATT&CK框架中各種攻擊類型的檢測技術(shù)覆蓋面Windows系統(tǒng)不低于320項，Linux系統(tǒng)不低于125項。12、提供輔助運營功能，要求至少提供8項能力：1）資產(chǎn)查詢與統(tǒng)計；2）HTTP告警數(shù)據(jù)包解讀、威脅情報解讀、惡意文件解讀；3）漏洞預警、排查與閉環(huán)；4）安全告警統(tǒng)計篩選、研判；5）安全事件的解讀與查詢；6）攻擊IP調(diào)查；7）安全趨勢總結(jié)；8）安全百科知識解讀。2服務器安全探針1、包含1個控制中心平臺+300個服務器探針授權(quán)；管理平臺至少包含終端資產(chǎn)管理清點、終端基線檢測、高級威脅行為檢測、攻擊可視化展示、威脅狩獵、級聯(lián)管理、行為日志采集、安全日志采集等功能；要求必須能夠與本次招標的安全檢測與響應管理平臺（XDR）無縫兼容，作為安全檢測與響應管理平臺（XDR）的安全探針，實施網(wǎng)絡安全檢測、響應、聯(lián)動。2、支持全網(wǎng)視角的終端資產(chǎn)統(tǒng)一清點，便于幫助用戶快速發(fā)現(xiàn)風險面。清點信息包括操作系統(tǒng)、應用軟件、監(jiān)聽端口和終端賬戶，其中操作系統(tǒng)和監(jiān)聽端口支持從資產(chǎn)和終端兩個視角進行統(tǒng)計和展示。3、支持對系統(tǒng)賬號信息進行梳理，了解賬號權(quán)限分布概況以及風險賬號分布情況，可按照隱藏賬號、弱密碼賬號、可疑root權(quán)限賬號、長期未使用賬號、夜間登錄、多IP登錄進行賬號分類查看，支持統(tǒng)計最近一年未修改密碼的賬戶。4、支持一鍵云鑒定服務，提供云端專家+沙箱+多引擎鑒定能力，結(jié)合云端威脅情報對已告警的威脅文件再次進行綜合研判并給出100%黑白結(jié)果，用戶可自助對管理平臺告警的威脅快速判斷是否誤報和了解威脅詳情。5、支持全網(wǎng)威脅狩獵，可基于威脅情報的病毒文件哈希值、行為、域名、網(wǎng)絡連接等各項終端系統(tǒng)層、應用層行為數(shù)據(jù)在全網(wǎng)終端發(fā)起搜索，挖掘潛伏攻擊，快速定位出全網(wǎng)終端感染該威脅的情況。6、可與安全檢測與響應管理平臺（XDR）聯(lián)動，支持從海量告警中通過引擎和專家提出去真正需