Error: Reference source not found

【绿盟科技】
■ 文档编号 UES-V6.0R01F00 ■ 密级 完全公开

■ 版本编号 V0.1 ■ 日期 2021-04-05

■ 撰写人 黄龙、贠珊 ■ 批准人

■ 版权声明

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科

技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复

制或引用本文的任何片断。
 目录
一. 产品背景................................................................................................................................................1
1.1 企业终端安全事件.........................................................................................................................1
1.2 企业终端安全现状及所面临的困难..............................................................................................1
1.3 终端安全防护发展趋势.................................................................................................................1

二. 一体化终端安全产品的技术特性........................................................................................................2

三. 绿盟一体化终端安全管理系统............................................................................................................3

3.1 产品体系结构.................................................................................................................................3
3.1.1 基础平台....................................................................................................................................3
3.1.2 终端安全行为检测与防护........................................................................................................4
3.1.3 终端一体化能力........................................................................................................................5
3.2 UES 核心业务场景..........................................................................................................................5
3.2.1 联动 NF 准入控制场景..............................................................................................................5
3.2.2 联动可信检控零信任场景........................................................................................................6
3.2.3 端点检测与响应业务场景........................................................................................................8
3.2.4 威胁诱捕与狩猎业务场景........................................................................................................8
3.2.5 环境感知与审计业务场景........................................................................................................9
3.3 产品特色.......................................................................................................................................10
3.3.2 微代理......................................................................................................................................10
3.3.3 安全且具备攻防特性..............................................................................................................11
3.3.4 集成系统入侵检测..................................................................................................................11
3.3.5 系统兼容性高，软件兼容性强，跨平台支持面广..............................................................11
3.3.6 易于部署与推送，中心统一管理..........................................................................................11
3.3.7 实时预警，日志数据详尽......................................................................................................12
3.3.8 数据二次利用..........................................................................................................................12
3.3.9 终端流量牵引..........................................................................................................................12
3.4 产品功能.......................................................................................................................................13
3.4.2 态势大屏..................................................................................................................................14
3.4.3 Agent 部署................................................................................................................................14
3.4.4 终端管理..................................................................................................................................14
3.4.5 资产画像..................................................................................................................................15
3.4.6 终端安全审计..........................................................................................................................15
3.4.7 终端检测防护..........................................................................................................................16
3.4.8 终端响应策略..........................................................................................................................16
3.4.9 终端微隔离..............................................................................................................................16
3.4.10 漏洞分析................................................................................................................................17
3.4.11 合规分析................................................................................................................................17
3.4.12 弱口令分析............................................................................................................................17
3.4.13 事件分析................................................................................................................................17

-I-
 3.4.14 攻击识别................................................................................................................................18
3.4.15 攻击诱捕................................................................................................................................18
3.4.16 U 盘管控.................................................................................................................................18
3.4.17 准入控制................................................................................................................................18
3.4.18 零信任....................................................................................................................................19
3.4.19 取证检索................................................................................................................................20
3.4.20 灰度发布................................................................................................................................20

四. 一体化终端安全核心优势..................................................................................................................20

4.1 产品亮点.......................................................................................................................................20
4.2 全面高效的端点检测防护方案，提升企业安全防护能力........................................................20
4.3 智能威胁建模，提高安全事件分析能力....................................................................................21
4.4 多重闭环响应，提高响应处置能力............................................................................................21
4.5 一体化终端安全管理，降低运维难度、提升企业运维效率....................................................21

五. 结论......................................................................................................................................................21

- II -
 插图索引
图 3.1 NSFOCUS UES 场景架构图...............................................................................................................3
图 3.2 NSFOCUS UES 产品特色...................................................................................................................6

图 3.3 NSFOCUS UES 功能概览...................................................................................................................8

- III -
 绿盟异常行为诱捕系统产品白皮书

一. 产品背景

一.1 企业终端安全事件

自 2015 年 11 月起，绿盟科技在北京、上海、深圳多家证券机构内部网络 陆续发现具有

APT 特征的恶意样本，该样本具有定向攻击、潜伏期长、攻击模式隐蔽且形式多样等特点，其
存在时间至少可追溯至 2005 年。

自 2013 年起，全球发生多起黑客利用 SWIFT 系统攻击银行的事件，损失数亿美金，而

种种迹象表明，黑客对银行内部网络植入了恶意程序，并长期潜伏寻找机会发起最终攻击。
2016 年发生多次针对 ATM 发起网络攻击导致 ATM 机自动吐钱的黑客事件，经过研究人
员分析，黑客实现对银行内部的 ATM 专用网络植入了恶意程序，最终实现操控 ATM 机吐钱。

2017 年 5 月 12 日晚,勒索病毒”WannaCry”感染事件爆发,全球范围近百个国家遭到大规
模网络攻击,恶意病毒利用漏洞在内部网络大范围传播和感染，造成严重损失。

一.2 企业终端安全现状及所面临的困难

内网通常所面临的威胁受制于两个方面，企业自身的业务管理及发展水平，第二个是来
自网络黑客的破坏及蠕木僵的威胁。除了对制度的改善外，企业应更加重视内网被攻陷的可
能。互联网高速发展的今天，攻击技术及黑客工具传播很快，因此导致攻击事件也层出不穷，
而边界型设备检测防护已无法保障现有的内网不被渗透入侵，外网失守就是过于关注边界防
护，内网失控则是对内网安全基础建设力度薄弱，而最终的决胜点就在终端防护上，与终端
其他安全产品共同对抗入侵威胁。

一.3 终端安全防护发展趋势

2017 年和 2018 年的 RSA 大会中，指出终端安全依然是 RSA 的一个热点，新兴厂商也开

始逐步做起了行为分析类产品。从预防转移到检测，随着绕行风险变得越来越严峻，企业现

© 2023 绿盟科技 -1- 密级：完全公开

 绿盟异常行为诱捕系统产品白皮书

在也开始意识到需要制定一个投资弹性和深度保护的计划。整个业界正在将重点从试图阻止
威胁，转移到让用户尽早发现威胁，然后拿出恰当的响应计划。
端点一体化进程正在加速推进，旨在将终端侧各安全能力进行整合，形成在网络拓扑中，
能够与安全设备，安全产品相互协作，共同参与溯源分析，威胁取证。绿盟一体化终端安全，
以对一个 Agent 的管理，从识别，检测，防护，响应，恢复五维一体的终端安全视角触发，
同绿盟各产品族形成安全网络体系。

二. 一体化终端安全产品的技术特性

攻防威胁的转变和系统环境的变化，要求检测类产品能够及时应对这些变化，为系统安
全性提供有力手段，一体化终端安全产品应该具备以下特性：
 保证自身安全，迅速应变攻防环境，使攻击者无从发现。

 一体化客户端形态，企业安装绿盟唯一端点代理，能够与各绿盟甚至友商的安全设
备形成联动，以降低资源浪费，对端点软件统一管理，一体化使用。
 能够结合主机入侵检测系统特性，提升检测范围，监控被入侵时的一举一动。

 能够及时的进行事件告警响应，多方面联合分析，还原攻击过程，优化对攻防事件
的应对方案。
 能够提供多种灵活部署方式，适应复杂的网络环境下的部署，并尽量控制降低安全
建设成本
 能够使用蜜罐技术，伪装服务，设置陷阱，以此为威胁检测切入点，层层剖析，试
图溯源。
 能够适应于多种平台及虚拟化环境。

© 2023 绿盟科技 -2- 密级：完全公开

 绿盟异常行为诱捕系统产品白皮书

三. 绿盟一体化终端安全管理系统

绿盟一体化终端安全管理系统（NSFOCUS Unified Endpoint Security Management 简称：

NSFOCUS UES）是绿盟科技结合多年的攻防实践经验和安全应用技术，自主研发的新一代
一体化终端类全能安全产品，它高效、全方位的检测网络中各个端点设备可能造成威胁的异
常行为风险，同时采用了基于真实服务的伪装技术,在迷惑攻击者的同时还可识别内网环境中
的攻击行为,帮助企业进行及时有效精准的应急响应。从而实现更有效的检测内网攻击，尤其
是针对企业内网的定向攻击和 APT 攻击。

三.1 产品体系结构

NSFOCUS UES V6.0 分为 Agent 软件客户端和 Center 管理服务器端，Agent 以软件的形

式部署在企业的内网主机上，检测黑客对内网的渗透攻击行为。Center 管理服务器端以软件形
式部署在企业的内网服务器上，进行 Agent 行为日志的统一收集和分析。整体场景架构如图
4.1 所示。

© 2023 绿盟科技 -3- 密级：完全公开

 绿盟异常行为诱捕系统产品白皮书

图 三.1 NSFOCUS UES 场景架构图

三.1.1 基础平台

基础平台包括管理平台及大数据分析组件。管理平台以软件安装包的形式交付于安全运
维人员，安装于 CentOS7.3 系统上，部署时，导入授权证书即可完成部署，管理平台可对内
网中所安装的 agent 进行注册，控制，卸载等。在管理平台中，包含众多能力组件，以提供安
全运维支撑与安全响应。其中包含资产指纹管理，威胁情报管理，自动持续化组件，资产脆
弱性与漏洞库等。

三.1.2 终端安全行为检测与防护

© 2023 绿盟科技 -4- 密级：完全公开

 绿盟异常行为诱捕系统产品白皮书

客户端 Agent 肩负着多项终端任务，包括主机入侵检测数据收集的任务，主机防护响应

任务调度，及主机环境陷阱设置等。安全技术的应用与插件化的结构，让 Agent 更适应于更多
的攻防场景。
主机入侵检测的集成，不仅实时监控并收集可用数据，使 Agent 加大行为监控并大量收
集可疑性数据，提供溯源依据，检测入侵威胁。
诱饵技术应用包括服务蜜罐及诱饵，服务蜜罐本质上是一种对攻击方进行欺骗的技术，
通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以
对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够
让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全
防护能力。

三.1.3 终端一体化能力

绿盟一体化终端安全，体现在绿盟对终端侧所有能力诉求进行整合，以一体化统一端点
软件进行铺设，提供终端安全管理能力的同时，对网络环境中的检测分析，响应恢复提供能
力支撑。

© 2023 绿盟科技 -5- 密级：完全公开

 绿盟异常行为诱捕系统产品白皮书

三.2 UES 核心业务场景

三.2.1 联动 NF 准入控制场景

联动 NF 主要应对准入控制场景，同样也便于企业对未安装 Agent 的主机进行防止内网

接入，从而对资产进行全面缉查和管理。UES 可联动多个 NF，进行多个子网主机进行控制。

如下图所示部署建议。

图 5.4 联动 NF 部署

三.2.2 联动可信检控零信任场景

© 2023 绿盟科技 -6- 密级：完全公开

 绿盟异常行为诱捕系统产品白皮书

围绕终端，构建安全信任管理模型体系实现终端从网络接入到可信敏感应用访问的全生命周
期的信任管理

三.2.3 端点检测与响应业务场景

© 2023 绿盟科技 -7- 密级：完全公开

 绿盟异常行为诱捕系统产品白皮书

三.2.4 威胁诱捕与狩猎业务场景

威胁诱捕技术应用包括服务蜜罐及诱饵等相关技术。服务蜜罐本质上是一种对攻击方进
行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施
攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意
图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强
实际系统的安全防护能力。

© 2023 绿盟科技 -8- 密级：完全公开

 绿盟异常行为诱捕系统产品白皮书

三.2.5 环境感知与审计业务场景

针对网络中终端资产，采用多种维度的资产发现手段，全面探查资产及资产内部环境基本属
性信息及风险信息。从终端资产全生命周期出发，对资产信息进行归并融合，确保准确全面
的持续的资产运营的框架下，感知并评估资产脆弱性、威胁及异常等多维度风险信息，并在
此基础下完整的安全运维处置闭环体系。

© 2023 绿盟科技 -9- 密级：完全公开

 绿盟异常行为诱捕系统产品白皮书

三.3 产品特色

图 三.1 NSFOCUS UES 产品特色

三.3.2 微代理

一体化终端客户端体积很小，如今约 200K，就包含隐藏、安全通信、升级等主要基础功
能。安装过程中无需任何配置和选择，极易于安装和推送。
纯用户态的程序，更高的适配于不同的系统环境中，且在发生异常时不会造成崩溃卡机，
避免人员对设备使用时造成的影响。
运行时，资源占用极低，当系统处于空闲状态时，又会根据策略适度调整以提高资源使
用率。

© 2023 绿盟科技 - 10 - 密级：完全公开

 绿盟异常行为诱捕系统产品白皮书

三.3.3 安全且具备攻防特性

客户端安装于客户操作主机之中，在对主机进行入侵检测的同时，还需要保证自身的安
全性，不被攻陷且被利用。
客户端服务程序隐藏或伪装技术，在安装完 Agent 的主机上，很难发现运行程序及程序
名称，避免攻击者入侵后对本地应用进行扫描攻击，进一步降低攻击者发现或攻击产品的风
险。
即便攻击者发现了客户端的存在，安全团队也能根据攻防场景迅速改变客户端的隐藏手段，
定制出有效的应对方案。
安全通信采用的是以 UDP 协议为主的消息应答模式，以 TCP 来进行大文件传输，且
Agent 在本地不会监听任何端口，避免入侵后的监听扫描发现管理系统及降低运维人员对防
火墙策略的配置成本。应用数据通信过程同样采用数据结构及证书交换加密来防止攻击者分
析数据包伪造数据包，防止伪造源地址攻击，重放攻击等。

三.3.4 集成系统入侵检测

客户端包含主机入侵检测功能，根据策略，对当前进程，网络端口，系统日志等进行监
控，为入侵检测提供数据依据，提高威胁分析的命中率。

三.3.5 系统兼容性高，软件兼容性强，跨平台支持面广

可稳定运行在 Windows NT 系列的 XP/2000 以上的操作系统。可稳定运行在 X86 架构的

主流 Linux 系统上，支持较低的内核。技术特性使核心功能可以逐步支持包括 ARM 等其他架
构，及 IOS 等更多的操作系统。

用户态的运行方式，可以与大多数杀软等防护类软件并存，共同对抗主机入侵威胁。

三.3.6 易于部署与推送，中心统一管理

传统的终端产品运维成本高，升级复杂度高，不易于管理，安全客户端首要解决的问题。
客户端具备轻量的特性，并且无需配置，静默安装，使客户端更易于部署与推送，适应于大
面积铺设的企业内网统一管理的应用场景。

© 2023 绿盟科技 - 11 - 密级：完全公开

 绿盟异常行为诱捕系统产品白皮书

中心统一管理，Agent 通过与中心的通信交互，实现自动升级。安全管理员在中心即可对
任何一台或多台 Agent 进行策略下发，监控，任务执行，甚至是远程卸载等所有控制手段，
真正做到全面管理。

三.3.7 实时预警，日志数据详尽

客户端是集识别，检测，防护，响应为一体的客户端，伪装各类服务，动态设置陷阱，
监控当前进程，网络等行为。所有的数据都将被送往管理系统，由管理系统进行统一的分析，
以此还原攻击。
当发现有可疑事件时，管理系统会迅速在平台进行告警，以此提醒安全员高度重视，及
时作出应急响应。安全团队逐步会增加包括邮件，短信，微信等方式的即时告警消息，帮助
企业用户及时响应安全事件。

三.3.8 数据二次利用

企业安全管理亦存在其他第三方平台或安全事件分析团队，管理系统提供对日志转出的
功能，同时支持 TCP，UDP 两种基础协议，可同时配置多台接收设备，以便对终端数据的二
次利用，与其他平台共同形成安全防御网络，共同抵御内网安全威胁。

三.3.9 终端流量牵引

随着传统数据中心向云计算平台的迁移热潮，云平台承载了越来越多
的业务。数据中心的网络流量模型也因此发生了巨大的改变，东西向流量
在整个数据中心的流量占比中越来越大。这给云平台网络安全带来了新的
挑战。因为，传统南北向安全防护无法为东西向流量提供防护。UES 提供基
于云主机的终端流量牵引能力，通过将镜像流量加密压缩后封装为 UDP 报
文发送至上层流量分析探针，通过心跳响应机制对异常云主机进行隔离。
支持配置流量过滤和牵引策略。

© 2023 绿盟科技 - 12 - 密级：完全公开

 绿盟异常行为诱捕系统产品白皮书

三.4 产品功能

图 三.1 NSFOCUS UES 功能概览

© 2023 绿盟科技 - 13 - 密级：完全公开

 绿盟异常行为诱捕系统产品白皮书

三.4.2 态势大屏

全方位展示当前现网终端情况，大屏展示安全评估各项维度指标。动态展示当前数据事
件，且实况转播资产详情与事件详情信息，达到大屏即可查看当前最新状况，协助管理员迅
速定位安全位置，及时做出响应处置。

三.4.3 Agent 部署

用户可自定义 Agent 安装部署，可自定义 Agent 安装后的首次通讯管理系统地址，与

Agent 安装时的服务名称，通讯端口。当服务名称为空时，则表示当前 Agent 安装服务名称为
随机名，当 Agent 上线后，即可在终端管理中查看到相应的 Agent 服务信息。提供 Agent 多种
部署方式向导，包括用户浏览器自行下载方式，邮件推送方式，命令行一键安装方式等。帮
助管理员快速开展终端现网部署方案。

三.4.4 终端管理

终端管理页面主要是对终端探针 Agent 进行管理，主要包含对系统识别，管理状态，可

对 Agent 进行禁用，远程卸载，删除，隔离，锁定，重新启动操作。系统识别包含了操作系统，
主机名称，及实时状态的下 CPU,内存资源使用情况。在查看端点详情下，包含更详尽的主机
信息，及主机指纹信息，包含应用软件，网络访问，系统服务，运行进程，用户名，用户组，
计划任务等，此为 Agent 周期性上报的历史数据统计得出。

© 2023 绿盟科技 - 14 - 密级：完全公开

 绿盟异常行为诱捕系统产品白皮书

三.4.5 资产画像

终端 Agent 在通过用户及各类友商软件安装后，则会自动识别主机资产信息，并上传服
务以标识并进行管理。Agent 识别的主机资产可自动建立资产管理资产及相关属性。在查看资
产详情中，可以方便的查看到资产指纹属性，其中包含有与 Agent 同样的指纹信息。用户可以
基于资产管理进行新建资产或导入资产数据，以方便建立与 Agent 的绑定关系。
以资产视角横纵分析事件特征，弱点特征，形成资产终端总体指标，以评估当前资产风
险状况，行为特征等。

三.4.6 终端安全审计

安全设计策略管理主要是对 windows 及 linux 的策略进行管理，可分组下发终端，

采集行为审计日志，及相关资产指纹。其中包括 Windows 系统事件日志，Linux 系统日志，主
机行为监控主要包括了进程监控与网络连接监控，资源使用率等。环境感知包含对主机的用
户账户配置权限变化感知，用户密码修改感知，软件安装感知，硬件变化感知，USB 插拔感
知等。运行监控快照周期是一组周期性监控数据，周期性上传的数据，主要包括了系统补丁，
计划任务，网络连接，运行进程快照，系统服务，启动项，应用程序，用户信息，用户组信

© 2023 绿盟科技 - 15 - 密级：完全公开

 绿盟异常行为诱捕系统产品白皮书

息。不同类型定义不同的检查周期，周期内持续监控主机数据。管理员可自定义关键路径安全
审核项提供用户可配置多个文件目录与注册表路径审核项，对关键信息进行全方位的实时监
控。

三.4.7 终端检测防护

此页面可配置与绿盟远程漏扫联动场景，Agent 会对主机资产信息进行全方位搜索并形
成指纹信息，将此信息上报给 UES 后，又 UES 联动 RSAS 进行终端漏洞分析，最后在 UES
上对漏洞结果进行统计与使用。
终端检测防护策略配置页面，能够方便的配置多种检测防护策略，其中覆盖 EDR 场景，
主要包含黑客程序告警，危险进程告警，可疑行为告警，挖矿程序查杀等一系列基于行为的
检测。并且内置轻量病毒查杀引擎，并含有当下最热门最易攻击的病毒特征，方便快速查杀
电脑关键位置及运行终得文件进程。

三.4.8 终端响应策略

日常终端运营中，及时响应在终端安全场景下是必不可少的能力，UES 提供最基础的响
应能力，也是最为有效的，包含主机隔离，网络链路封禁，文件隔离，进程查杀等。从网络
到端点，从运行到磁盘多个维度进行全面封锁，应对各类响应场景。

© 2023 绿盟科技 - 16 - 密级：完全公开

 绿盟异常行为诱捕系统产品白皮书

三.4.9 终端微隔离

安全管理系统提供统一的访问控制策略设置，用户可在此配置访问控制。当此访问控制
条目下发给相应客户端后，客户端会根据此 ACL 策略进行防火墙设置，所有过程均在用户态
应用环境中完成，依赖于系统防火墙，实现其主机上的微隔离方法。

三.4.10 漏洞分析

漏洞分析技术需联动绿盟漏洞扫描器，并非采用远程扫描方式，而是通过 Agent 进行本

地主机资产信息识别，将识别到的主机信息，补丁信息，应用信息，文件信息等进行上传管
理平台后，由平台联动绿盟漏扫进行漏洞分析的方案实现过程。最后将漏洞数据上传并进行
主机脆弱性统计与分析。

三.4.11 合规分析

UES 管理端提供一键安检能力，主要适配为 Windows 操作系统，能够对当前补丁安装

情况，软件情况，锁屏情况，用户情况等进行风险评估，以帮助管理员能快速跟进弱点终端，
也协助终端用户对不合规项进行修复。

三.4.12 弱口令分析

弱口令账户密码检测，在客户端初始运行时，对主机中的账户与密码进行校验检查，
在客户授权许可范围下，检测账户与密码的脆弱性，当用户修改密码时，实时检测修改后的

© 2023 绿盟科技 - 17 - 密级：完全公开

 绿盟异常行为诱捕系统产品白皮书

密码是否符合口令强度，且上报管理系统，上报的数据为加密掩码形式，只对当前主机密码
进行弱口令匹配，客户的明文密码不会被校验与上传。

三.4.13 事件分析

安全事件统计与概览，对终端周期上报与实时上报的数据进行规则识别过滤，命中规则
即表示产生相应的安全事件，其安全事件主要维度分为源地址，目的地址，与攻击方式，攻
击结果。从事件中可查询到对应的攻击识别规则与原始数据。

三.4.14 攻击识别

攻击识别引擎，基于 FLINK 流式处理引擎，主要对终端上报的数据进行流式处理，聚

合式处理，规则包含内置的系统规则，终端规则，用户可基于攻击规则配置方法配置自定义
规则，以检测更多安全场景。攻击识别引擎可对过滤进行单条日志命中匹配，多维关联日志
命中匹配，多源时序日志命中匹配。从更多的统计分析方法判断安全事件的发生。在攻击识别
配置中，用户可查看攻击识别模版，处置建议等知识库，对规则可进行数据调试。当新建一
个规则时，此规则生效需要将此规则绑定到具体的示例中。

三.4.15 攻击诱捕

微蜜罐策略与主机安全检测防护策略，微蜜罐下，客户端会在客户主机上关键磁盘
目录进行创建文件和目录，伪装成服务，监听可能被攻击的端口，以用来捕获攻击者行为。
单独攻击诱捕视角呈现诱捕情况，统计分析诱捕事件，帮助管理员分析并制定现网终端捕获
目标。

© 2023 绿盟科技 - 18 - 密级：完全公开

 绿盟异常行为诱捕系统产品白皮书

三.4.16 U 盘管控

UES 提供外设 U 盘管控策略，管理员能够对现网终端分组管理 U 盘，可对 U 盘进行插

拔审计，文件独写审计。也能够对 U 盘进行使用封禁。

三.4.17 准入控制

终端准入控制方案，为联动绿盟防火墙 NF 完成，在 UES 上配置需要联动控制的 NF 地

址与账户口令，即可完成准入联动过程。NF 的技术方案采用用户认证方案。通常企业中可配
置为出口 NF 进行对全网终端的准入控制。当用户未安装 Agent 时，NF 则会自动重定向到
Agent 认证页面，进行 Agent 下载安装，当 UES 检测到 Agent 注册并上线后，则对 NF 进行用
户认证接口放行操作。以便此终端可通过 NF 访问其他应用。

用户可以直接在 UES 上对 NF 上的用户进行操作，可在 UES 上增加用户白名单，过滤

哑终端，可在 UES 上对用户进行运行与禁止访问操作。NF 主要提供了终端 Agent 必须安装与
部署的控制能力，而 UES 则对 Agent 的安装进行校验并通知 NF 放行的联动过程。

三.4.18 零信任

此页面可配置零信任安全防护体系，与绿盟安全管理中心，UIP，SAG 形成联动，参照
绿盟 CARTM 体系。所需要配置安全管理中心地址，应用目录等地址。当代理服务开启时，则
Agent 会配置当前系统的默认代理地址为本地代理，代理执行为 Agent，Agent 会串联到系统
中的 WEB 访问请求，访问应用时附带 agent_uuid 数据到可信组件侧，由可信组件判断当前终
端的合规性与信任度。

© 2023 绿盟科技 - 19 - 密级：完全公开

 绿盟异常行为诱捕系统产品白皮书

零信任需要配合绿盟 UIP 与 SAG，方可对全网环境中的终端访问应用时，的可信程度，

风险程度综合衡量，根据信任评分进行应用访问的放行与禁止。
零信任策略中也能通过人脸识别维度进行授权访问分析，按识别情况进行告警，识别当
前物理环境，对主机使用者进行持续人脸审核。

三.4.19 取证检索

日志存储架构采用 ES 框架，可对全部日志，部分类别日志，根据不同的条件查询，查
询速度较快。检索中，可按 AND,OR 进行逻辑查询，可以直接查看日志详情，在详情中可点
击快捷过滤条件添加，与新建以此日志进行过滤的安全事件规则配置。其日志的原数据主要
包含了，数据源，数据增强字段。其中对数据进行了二次解析，对数据进行二次分类，从 IP
信息中增强地理位置，资产 ID 等属性。

三.4.20 灰度发布

为了更贴近实际的运营场景，以避免 Agent 升级所带来的系统兼容问题，杀软兼容问题，

修复问题等，引入灰度发布思路。用户可以设置需要更新的终端 IP 地址，终端管理会根据这
些 IP 地址以对通讯中的 Agent 进行策略，升级等灰度发布机制，以提升全网运维能力，避免
Agent 对其造成的影响。

© 2023 绿盟科技 - 20 - 密级：完全公开

 绿盟异常行为诱捕系统产品白皮书

四. 一体化终端安全核心优势

四.1 产品亮点

 统一的策略管理，不同维度和粒度的分发机制。
 可配置的多类型规则与任务，自定义事件告警，自定义过滤日志。
 极高的用户层稳定性，不破坏系统与业务本身。
 够轻量的部署方式，小体积，大智慧。
 高效的系统集成和交付能力，可配置，可编排，可组合。
 结合多项欺骗技术，主动捕获攻击来源。
 与所有绿盟产品同步联动，数据共享，还原攻击。

四.2 全面高效的端点检测防护方案，提升企业安全防护能力

通过完善的弱点分析能力，包括漏洞、合规、弱口令快速分析，充分感知获取客户环境的脆弱
性信息；通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，
从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动
机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系
统的安全防护能力。
通过方便的配置多种检测防护策略，其中覆盖 EDR 场景，主要包含黑客程序告警，危险进程
告警，可疑行为告警，挖矿程序查杀等一系列基于行为的检测。并且内置轻量病毒查杀引擎，
并含有当下最热门最易攻击的病毒特征，方便快速查杀电脑关键位置及运行终得文件进程。

四.3 智能威胁建模，提高安全事件分析能力

UES 将攻击链模型、ATT&CK 模型、威胁知识图融入到平台威胁分析建模，从海量数据

中聚效到攻击者攻击行为，对于规则命中的威胁，统一生成终端威胁事件，支持威胁事件攻
击过程、攻击链、ATTCK 等信息关联分析，追溯威胁事件发生的主机、进程、文件路径、还原事
件发生过程。

© 2023 绿盟科技 - 21 - 密级：完全公开

 绿盟异常行为诱捕系统产品白皮书

四.4 多重闭环响应，提高响应处置能力

及时响应在终端安全场景下是必不可少的能力，UES 提供最基础的响应能力，也是最为
有效的，包含主机隔离，网络链路封禁，文件隔离，进程查杀等。从网络到端点，从运行到
磁盘多个维度进行全面封锁，应对各类响应场景。提供统一的访问控制策略设置，可支持基
于主机
同时通过和绿盟安全运营管理平台的联动，通过安全编排自动化响应组件联动可以将安
全工程师分析、研判、处置经验固化，在事件发生时实现自动化编排与响应的能力，提降低
MTTR 处置响应时间。

四.5 一体化终端安全管理，降低运维难度、提升企业运维效

UES 真正做到终端安全多维能力统一覆盖，网络安全体系下的端点统筹，终端安全唯一客户
端、业务及技术架构统一化管理。一个终端解决所有终端安全相关难题，真正做到方便运维，
提升企业整体终端安全运维效率。

五. 结论

网络安全环境日趋复杂，攻防对抗愈演愈烈，未知威胁层出不穷，传统安全防御体系无法跟
上严峻的终端安全形势，近几年勒索病毒频发，呈指数级增长，我国政府单位，公共机构，
医疗单位和企业成为勒索病毒攻击的重灾区。
病毒变种持续增多，基于厚重特征库的传统静态防御方式愈显不足，网络和终端安全防护割
裂，网端形成安全孤岛，无法实现威胁情况共享，安全产品之间也无法产生最大的联动防御
效果，导致无法快速识别检测出内网威胁，快速响应机制缺失，影响安全运维效率，终端整
体防御效果不甚理想。
合规设备及边界设备不能完全保证内网的绝对安全，一旦黑客入侵并成功潜伏，将会对
整个企业造成巨大的威胁。终端防护之前，需要做到绝对的终端威胁检测，终端就是攻击者
入侵后的最后一道防线，且也是黑客的最终战场，终端安全的首要职责就是发现入侵威胁，
及时预警，与安全员共同响应与抵御攻击事件。

© 2023 绿盟科技 - 22 - 密级：完全公开

 绿盟异常行为诱捕系统产品白皮书

绿盟一体化终端安全管理系统的推出，以终端资产安全防护为核心，基于 CARTA 持续
自适应安全风险及威胁评估模型在 EDR 领域的应用为要求，提出以持续安全风险评估为中心，
围绕准入、检测、分析、响应、防护五个关键环节，面向终端赋予更安全的准入策略、更精准的
检测能力，更高效的查杀能力，更细致的微隔离策略以及更快速的响应处置能力，在应对高
级威胁的同时，通过和绿盟安全管理平台、可信控制平台、漏洞扫描系统等联动协同，帮助用
户快速分析、定位、处置终端安全问题。构建一个轻量化、智能化、快速化的自适应终端安全准
入、分析及防护体系。

© 2023 绿盟科技 - 23 - 密级：完全公开