终端安全检测系统EDR全流程图
2022-01-25 15:25:34 11 举报详细介绍EDR系统产品功能架构和设计
作者其他创作
大纲/内容
输出
基础设备、安全设备
系统管理
告警
3D可视化
资产指纹调查
采集配置
异常检测模型(有监督算法)
系统
处理经验
人工审核
异常检测模型上线
发送
模型训练
样本生成
提供
资产设备
告警反馈
态势感知子系统
检测服务
威胁数据接口漏洞数据接口时序数据接口告警数据接口日志数据接口特征数据接口统计数据接口.........
关系
数据消费
安全中心
采集日志明细数据漏洞明细表告警明细表威胁明细表病毒明细表样本明细表.......
告警服务
操作日志
数据清理
抽取
作业平台执行服务
下发
恶意软件
离线训练模型
台账
网络
提取数据
非结构化数据(日志与告警数据)
安全运营可视化
使用
分析与响应系统(AI人工智能)
总体态势
数据结构血缘关系多维度业务数据AI算法训练数据指标数据.........
正负样本
漏洞修复文件隔离进程清除补丁软件等
Agent客户端安装
可疑行为
安全日志
运行分析
入库
类型
主机
残缺数据
告警处置经验写入
调用
无监督算法
运维知识图谱
区间比
API接口
直接处理(误报,忽略)
数据映射
时间日期数值类型字符长度数据编码
作业平台
病毒、漏洞、可疑文件/事件
标准化
资产管理
运维工具
基础数据库
联动分析
异常记录
静态阈值
生命周期
差异数据
系统态势
异常检测
月可疑监控统计月终端告警统计周病毒处理情况统计月告警延迟率统计AI异常检测统计......
运维日志
数据转换与计算
事件调查
资产
产生异常
CMDB资产管理
实时/定时
格式化
结构化数据(预定义指标数据)
数据持久化
完成作业
全景视图可视化
规则的计算
不一致数据转换
预检测流程
脚本执行
处理完毕
下发策略
数据加工
属性
人工标注
工作台
用户管理
异常反馈
响应中心
场景编排
主体模型数据
标准数据
CMDB漏洞数据监控数据告警数据威胁数据病毒数据
数据接入
漏洞
普通告警,推送异常
集群资源统计(用户数;终端节点、服务)
自动化运维
周同比
异常库
告警通知
配置管理库(CMDB)
报表中心
数据存储
数据采集
告警处理
实时监测
数据过滤
威胁监测中心
威胁终端、事件
拓扑
威胁情报库
接入完成
端点接入子系统
是否异常
训练\\测试
攻击链路可视化
明细数据
写入
威胁数据病毒数据可疑数据异常数据
日漏洞明细表月漏洞明细表日威胁明细表月威胁明细表日告警明细表月告警明细表时序异常明细表........
告警中心
集群资源使用情况(24 小时资源使用情况)
资源态势
行为、可疑、高危
数据结构标准化数据类型标准化数据格式标准化
AI发起告警自愈
统计判别算法多项式算法GBOTxgboost
威胁管理
指标
提供分享
资源监控可视化
数据中心态势
加载有监督模型
数据治理子系统(大数据)
僵尸网络、勒索病毒
移动运维
特征提取
国产系统/windows/linux
大数据资源专题(可疑、威胁、攻击的总量)
数据源
算法库
记录归档反馈标记
模型管理
Web版ssh
重复数据
输出疑似异常
隔离/删除/忽略等
日志
3sigma移动平均算法指数移动平均算法
专家经验
病毒库
角色管理
标记
告警管理
错误数据
数据应用层
日同比
统一化处理
豆豆消息、邮件、短信
数据提取
大数据资源态势
系统日志
异常检测处理器
攻击态势
元数据
菜单管理
系统首页
数据粒度的转换
权限管理
风险日志
样本库
告警转工单
收藏
收藏
0 条评论
下一页
