加密流量洞察概述
从 “监控 ATP > 加密流量 ”菜单>访问此页面。
加密流量洞察 (ETI) 可帮助您检测隐藏在加密流量中的恶意威胁,而无需拦截和解密流量。
加密流量洞察的优势
-
在不破坏流量加密的情况下监控网络流量是否存在威胁,从而遵守数据隐私法。
-
无需额外更改硬件或网络即可设置和管理网络:
-
瞻博网络安全边缘向 ATP 云提供所需的元数据(例如已知恶意证书和连接详细信息)和连接模式。
-
ATP 云提供行为分析和机器学习功能。
-
-
提高对加密流量的可见性和策略实施,而无需进行资源密集型 SSL 解密:
-
根据ATP云分析的网络行为,网络连接分为恶意连接或良性连接。
-
-
在传统信息安全解决方案之外增加一层保护,帮助组织降低和管理风险。
-
确保无延迟,因为我们不解密流量。
表 1 列出了“加密流量洞察”页面上提供的信息。
| 领域 |
指引 |
|---|---|
| 外部服务器 IP |
外部服务器的 IP 地址。 |
| 外部服务器主机名 |
外部服务器的主机名。 |
| 最高威胁级别 |
基于加密流量洞察的外部服务器上的威胁级别。 |
| 计数 |
网络上的主机尝试与此服务器联系的次数。 |
| 国家 |
外部服务器所在的国家/地区。 |
| 上次出现时间 |
最近外部服务器命中的日期和时间。 |
| 类别 |
有关此服务器的已知其他类别信息,例如僵尸网络、恶意软件等。 |
加密流量洞察和检测
加密流量洞察结合了快速响应和网络分析(静态和动态),以检测和修复隐藏在加密会话中的恶意活动。
针对新 TCP 会话的加密流量见解分阶段方法如下所示:
- 已知恶意活动 — 瞻博网络 ATP 云提供有关已知与恶意软件关联的证书的信息,Juniper Secure Edge 使用这些证书立即识别恶意流量。
- 未知恶意活动 — 瞻博网络 ATP 云收集和分析元数据和网络连接详细信息。
- 自动检测和补救 — ATP 事件与用户和设备信息相关联,并添加到受感染主机源中。
- 主机被阻止
流程
本部分提供执行加密流量洞察的工作流。
| 步 |
描述 |
|---|---|
| 1 |
客户端主机请求从互联网下载文件。 |
| 2 |
瞻博网络安全边缘接收来自互联网的响应。瞻博网络安全边缘从会话中提取服务器证书,并将其签名与阻止列表证书签名进行比较。如果发生匹配,则会阻止连接。
注意:
瞻博网络 ATP 云源可通过与已知恶意软件站点关联的证书源使瞻博网络安全边缘保持最新状态。 |
| 3 |
瞻博网络安全边缘收集元数据和连接统计信息,并将其发送到 ATP 云进行分析。 |
| 4 |
ATP 云执行行为分析,将流量分类为良性或恶意。 |
| 5 |
如果检测到恶意连接,则会重新计算主机的威胁分数。如果新分数高于阈值,则会将客户端主机添加到受感染主机列表中,根据瞻博网络安全边缘设备上的策略配置,客户端主机可能会被阻止。 |