概述

Symantec DeepSight 威脅情報的收集、分析、以及透過可自訂的入口網站和資料摘要提供網路威脅資訊,以協助主動執行防禦措施及提升資安事端應變能力。可讓安全運作團隊掌握更即時的資訊,並提供各種工具以迅速準確地辨識威脅與矯正方式,以保護企業安全。

Symantec DeepSight 威脅情報被產業分析師譽為市場領導者,您可在現有的安全技術投資上,打造健全、高擴充性的資訊安全計劃,讓您更有效地運現有的運作資源和工具,
可透過下列方式取得:
Symantec DeepSight 威脅情報入口網站 – 符合直覺的網頁入口網站
Symantec DeepSight 威脅情報資料摘要,可將威脅資料自動提供給現有的安全基礎架構

Symantec DeepSight 鎖定惡意威脅情報。 隨著網路相關威脅的暴增,企業也將愈來愈多的資源集中於因應各種專門針對其高價值資產的攻擊者與威脅。我們擁有得天獨厚的專屬資源,足以瞭解攻擊者的生態系統,並可針對攻擊手段、技術及程序等方面提供詳細的情報,以進一步辨識及中斷攻擊活動。

DeepSight solution

Symantec DeepSight 威脅情報的主要效益

提供量身打造、鉅細靡遺的準確情報。 DeepSight 威脅情報能清楚掌握攻擊層面以及攻擊背後的發動者,針對目前與新興的威脅提供深入的威脅情報以及前後脈絡,進而迅速辨識並阻止這些威脅,避免影響重要系統。

對瞬息萬變的威脅環境更迅速地做出回應。 威脅、漏洞與信譽資訊的結合,能讓企業根據自身的 IT 基礎架構與安全政策來定義威脅警示,並視需求適時調整安全規劃與應變方式。

提升 IT 安全人員的效率和生產力。 透過僅關注相關威脅與業務相關問題的單一資料來源,IT 人員可據以做出有效回應,因而得以節省時間來執行其他專案。

全球安全智慧型網路

賽門鐵克全球智慧型網路 (GIN) 是一個大型的安全資料歸檔資料庫;我們每年監控、分析及處理全球超過 10 兆起的安全事件。換句話說,我們擷取各種來源的巨量資料,從資料間找出構成攻擊的共通之處。透過尋找這些漏洞跡象並建立資料間的關聯性,我們就能設計出全新的偵測與防護方法。

將全球安全情報整合至單一安全程式的重要性不容小覷。保護您網路不致遭到威脅的最佳方式,就是瞭解哪些人可能攻擊您,同時瞭解哪些最新判別出來的漏洞可能被利用來攻擊您的網路。

一改被動式安全策略。 傳統的安全解決方案雖然有效,但只能在威脅攻擊企業後才能夠辨別。在面對全球威脅態勢時,提升資訊掌握能力,有助於建置更主動的安全政策並加以落實。嘗試跟上威脅態勢的步調並從眾多來源彙總威脅資料,讓判別相關威脅與排定減緩風險工作的優先順序,已成為全職員工也難以負荷的工作。

兼具資料的深度與廣度。GIN 結合賽門鐵克雲端中繼資料、論壇、廠商、誘捕網路以及其他第三方資料,並擁有業界規模最大的端點偵測器,能讓您深入洞悉以經驗為基礎的實際客戶 (包括企業與消費者) 資料。

DeepSight 威脅情報彙整、分析及提供了賽門鐵克全球智慧型網路 (GIN) 所收集的網路威脅資訊。藉由下列來源的巨量資料,賽門鐵克 GIN 可深入掌握全球威脅態勢:

  • 在 157 個國家或地區部署的超過 4150 萬個攻擊偵測器
  • 企業、安全性廠商以及超過 5000 萬名使用者組成的廣大防詐騙社群
  • 每個月來自 5 百萬個誘捕帳戶、超過 80 億封的電子郵件
  • 每天超過 130 億個網頁要求

入口網站 (Portal)

DeepSight 威脅情報入口網站支援主動式安全狀態,向分析師提供以業務為導向的威脅資訊,協助將目前及未來的網路攻擊影響降到最低。

我們以巨量資料的方式收集資訊,透過檢查全球數百萬個事件,確保做到全面性的全球監控;對於賽門鐵克龐大的安全解決方案客戶群以及合作夥伴組織所產生的未過濾警示,我們會加以彙整並交叉比對。

透過分析專有的全球智慧型網路 (GIN) 收集而來的威脅資訊,DeepSight 威脅情報可辨識與惡意活動和已知威脅行動者行為相關聯的流量特徵。

最終情報是我們經過人工分析以及巨量資料基礎架構運算分析所得的結果,最後再透過 DeepSight 威脅情報入口網站提供給使用者參考。

在入口網站設定組織設定檔,可為貴公司提供切合所需的專屬情報,確保依據可能受到的經濟衝擊規模,依序處理威脅和漏洞。

DeepSight Portal 2

主要效益

全球性的能見度。充分掌握可自訂的全球威脅資料,包括深入全球防火牆、IDS 以及誘捕網路事件的能見度,如此一來,組織或產業通常就能提早一步洞悉威脅與趨勢,避免受到影響。

威脅的全貌。 入口網站可提供您威脅的全貌,從攻擊層面的漏洞到攻擊背後的惡意程式、以及發動者等等資訊。

偵測及緩和風險。 入侵跡象與特徵可協助您偵測重要威脅,而緩和策略和矯正措施則有助於快速應變。

自訂檢視畫面。 根據產業、技術清單以及地理位置,依您的特定需求輕鬆自訂警示項目和資訊內容。

網域偵測。若品牌遭冒用或所攔截的 IP 位址連結到任何與網路釣魚或惡意程式碼疫情相關的網域,企業就會收到通知。

服務等級。DeepSight 威脅情報入口網站警示可提供多種不同的服務等級;企業可選擇最適合自身需求與條件的等級。

資料摘要 (Data Feeds)

Symantec DeepSight 威脅情報資料摘要可自動運用情報,讓現有的安全基礎架構變得更加聰明 (管理、風險與法規遵循 [GRC] 系統、安全資訊與事件監控 [SIEM]、DNS Sinkhole、智慧防火牆等),為企業提供額外防護。DeepSight 威脅情報資料摘要會套用情報以及安全的資訊來源,確保第三方解決方案隨時獲得有關最新威脅和風險的資訊,進而讓您在安全技術的現有投資更具成本效益,同時提升使用者的生產力。

DeepSight 威脅情報資料摘要將透過簡易物件存取通訊協定 (Simple Object Access Protocol,簡稱 SOAP) 網頁服務提供。它提供的可採取行動情報包含:

  • 惡意 IP 和網域/網址,包括對安全問題「4W」(什麼人、什麼地方、什麼時間及什麽內容) 的詳細解答。
  • 持續更新對漏洞與惡意程式的最新發現,包括如何更快地解決事件的豐富資訊。

DeepSight 威脅情報資料摘要

DeepSight 威脅情報:安全風險資料摘要
Symantec DeepSight
威脅情報安全風險資料摘要以完整的風險評等、解毒與緩和策略,帶您深入洞悉新興威脅、惡意程式碼和廣告軟體/間諜程式,以協助抵禦新興威脅。

DeepSight 威脅情報:漏洞資料摘要
DeepSight
威脅情報漏洞資料摘要可針對影響超過 17,000 家廠商、將近 105,000 項技術的漏洞提供即時資料。以數值表示的緊迫性和影響評等,結合 Security Content Automation Protocol (SCAP) 識別工具,可依優先順序排定應變動作,將風險降到最低,並達到最佳的資源利用率。

DeepSight 威脅情報:信譽資料摘要
DeepSight
威脅情報信譽資料摘要可針對網際網路上的惡意活動提供最新且可採取行動的情報。可依據觀察到的惡意行為將 IP、網址及網域進行分類,包括:

  • 攻擊
  • 惡意程式散佈
  • 網路釣魚詐騙
  • 垃圾郵件散佈
  • Bot 感染
  • 傀儡網路指令與控制伺服器通訊

DeepSight 威脅情報提供四項信譽資料摘要:

  • DeepSight 威脅情報:IP 信譽
  • DeepSight 威脅情報:網址/網域信譽
  • DeepSight 威脅情報:進階 IP 信譽
  • DeepSight 威脅情報:進階網址/網域信譽

DeepSight Intelligence reputation datafeeds包含下列屬性:

  IP Reputation URL/Domain Reputation Advanced IP Reputation

Advanced URL/

Domain Reputation

IP V  V
Domain  V  V
URL  V  V
Reputation  V   V   V   V
History   V   V   V  V
Prevalence, Confidence   V   V   V   V
Geolocation*   V   V
Industry*   V   V
Ownership*   V   V
Behavior Details   V   V
  • *Where data is available

 

DeepSight 資料摘要的主要效益

  • 減少環境中誤報和漏報的數量,以降低研究和應變成本。
  • 使用全新的偵測和防護手法,提高事件偵測率。
  • 自動更新有關最新威脅和漏洞的資訊,並定期上傳最新發現,推動對風險和漏洞的有效管理。
  • 在安全系統 (SIEM、GRC、漏洞管理等) 發出的作業問題單中提供充足的內容,以便迅速解決事件,同時降低營運成本。

資料摘要供應方式

  • Web Service SOAP 1.1 或 1.2
  • 資料摘要: XML 1.0 版/壓縮演算法 – zip – RFC 1950
  • 資料摘要格式:
資料摘要 格式
  XML CEF CSV
漏洞  V
安全風險  V
信譽  V  V  V

 

SIEM 整合

Symantec DeepSight 威脅情報能與市場上的SIEM整合,包含IBM QRadar、ArcSight、Splunk。