智域简介

中安网星域安全管家——智域，是中安网星在面临高级域渗透活动的威胁下，研发出的一款针对域的安全管理产品，适用基于Windows AD域构建的企业内网，通过对域内服务器数据、流量数据、行为数据的即时分析，预先识别域内信息资产存在的脆弱性，及时准确发现域内攻击行为；根据内置安全基线，对域内设备进行基线控制，并根据处置工作流实施全自动漏洞修复、配置完善与攻击阻断。本产品作为企业内部安全防线的核心环节，检测能力覆盖内网攻击杀伤链全部维度及大部分手法，可辅助企业建立域环境的整体安全防护体系，提高应对针对公司级别高级攻击活动的感知与预警能力。

工作原理

智域通过域控传感器将所有域控服务器的事件日志与Kerberos/NTLM/LDAP等域相关流量进行回收，分析中心分析回收的数据，基于无规则的行为检测模型发现已存在漏洞和配置问题，通过特征匹配、协议深度解析、域内历史行为、敏感操作和蜜罐账户等检测方式捕获已知的攻击行为，基于大数据分析和机器学习算法构建匹配业务场景的数据模型，智能捕获未知的安全威胁，以实现域内威胁攻击的全覆盖检测。

核心功能

主动检测

智域支持对域内安全脆弱性进行主动识别，可对域安全漏洞、安全基线进行扫描。

域漏洞扫描

智域漏洞检测规则包含MS14-068、MS17-010、CVE-2018-8581、CVE-2019-1040、CVE-2020-0688、CVE-2021-42287、CVE-2022-26923等多个典型漏洞在内，可全面覆盖目前所有域内已知危险漏洞，同时结合内置的处置工作流对已发现漏洞进行一键修复，在安全事件发生前修补安全漏洞。

域基线扫描

智域提供了完整的域安全基线标准，支持对域内策略配置进行基线扫描，及时发现危险的系统配置和权限控制策略，避免因账户口令、通信协议、访问控制、网络安全设置、日志审计等配置不当引发安全问题。

威胁感知

智域通过部署agent获取域内日志与流量数据，对此数据进行实时分析，发现包括信息探测、凭证盗取、横向移动、权限提升、权限维持、防御绕过等多种攻击行为。

威胁狩猎

智域通过主动探测梳理域内资产情况，绘制域内资产层级关系图谱，梳理出每一条可到达域控的攻击路径，同时基于机器学习与AI大数据分析技术，利用采集到的数据构建用户行为模型进行深度关联分析，发现异常用户行为、正常功能滥用、域内0Day攻击等潜藏的未知高级威胁。

运维管理

智域是基于AI SecOps标准的最佳实践，包含自动化运营运维功能，内置处置工作流达50条以上，支持根据安全基线标准对域安全策略进行一键配置，支持对识别到的安全漏洞和攻击行为进行全自动修复与阻断，将域内横向移动扼杀于摇篮之中。

部署方案

智域包含域控传感器与分析运营平台两大组件，无需改动现有网络架构，在AD域内全部的域控主机上安装域控传感器，传感器会将采集到的日志和流量发送到分析运营中心进行分析处置，安全专家进一步分析研判后对域控进行配置下发，封禁高风险账户。为应对不同场景，智域支持单机部署、集群部署、多级部署等多种部署方式。

产品特点

部署方案快速高效

agent数据采集方案，无需改变现有网络架构，5分钟快速完成域控侧部署工作，支持单机、集群、多级部署，灵活调整，适配不同应用场景。

威胁识别精准告警

基于黑客攻击视角的威胁检测，覆盖攻击链全过程，结合AI算法、大数据分析实现已知攻击手段和未知攻击方式的精准告警。

主动检测覆盖全面

内置上百条域内专属漏洞规则与完整的域安全基线标准，覆盖当前已知所有域安全漏洞和全面的域安全策略。

自动运维安全简便

独有的自动化运营运维模块，内置数十条事件处置标准流程，可对发现的漏洞和攻击进行全自动修复与一键阻断，真正实现自动化运维管理。

精准捕获未知威胁

利用身份威胁诱捕技术，将虚假的蜜罐账号密码注入到域内主机内存中，诱使攻击者进行提权利用，当攻击者利用蜜罐账号尝试进一步攻击后，即可定位到失陷主机。

域安全运营

中安网星具备专业的安全运营技术团队，根据不同客户需求，提供7*24小时或5*8小时的智域安全运营服务，专业团队管家服务，一站实现AD域安全防护。

远程运营

远程运营运维方案是中安网星通过长期实践得出的创新运营方案，位于北京中安网星运营中心的工程师通过云主机连接VPN的形式接入内部智域分析平台，企业可通过VPN数据管理，云主机24小时录屏，远程运营中心视频24小时在线接入等方案满足安全需求。

驻场运营

针对有现场运营需求的企业，中安网星可派遣专业运营工程师进驻客户现场，实地进行运营运维。

域安全服务

针对AD域面临的安全挑战，中安网星结合智域推出域评估与应急响应服务，优化产品使用，辅助企业用户实现安全事件的事前防御部署、事中侦测阻断以及事后处置溯源。

域环境安全评估服务

通过低侵入式的评估手段（不影响现有业务运行），模拟黑客攻击，从域安全认证、域安全历史漏洞和域安全管理配置等多个维度着手，发现用户域安全防御能力的问题和缺陷。

域安全事件应急响应服务

针对域安全事件，中安网星提供应急响应服务，对攻击链进行全过程溯源并协助处置，提供专业修复加固建议，避免同类事件再次发生。

用户收益

大型攻防演练防守利器，将攻击阻隔在靶标之外

在国家举办的大型网络安全实战对抗活动当中，参演单位需要上报靶标系统并在接下来的网络对抗中保护其不受攻击，AD域作为攻击靶标系统的必经之路，在大型网络对抗活动中往往成为攻击队的关键目标。

智域可对域内所有已知、未知的攻击进行实时全面的检测，并配合全自动修复运营工作流程，对其进行阻断，截断攻击链路，防止攻击队以内网机器作为跳板横向漫游到达靶标，将攻击行为彻底阻隔在靶标系统之外。

针对AD域的定向保护，保证核心系统不受侵害

域内终端和服务器针对性的安全策略制定，严格的权限和访问控制保护，功能强大的威胁检测平台建立，及时发现终端及服务器上不安全的活动信息，阻止安全问题横向扩散，定向保护核心系统不受侵害。

完善安全事件追溯能力，丰富现有安全防护体系

实现对AD域日志的统一管理，提升企业对安全日志的审计和追溯能力，快速定位和响应AD域安全威胁，对接统一安全管理平台，使现有安全防护架构更加丰富立体。