1、1 1 Trellix|Always Adapting.Always Learning.Trellix|Always Adapting.Always Learning.智能安全运营解决方案赵树佳解决方案架构师2 24 4万万客户78 78%全球财富500强90 90+国家和地区17 17亿美元亿美元年收入*获取更多信息TT2.3T2.3T年度威胁情报查询1 10 0亿亿+威胁探针1 1亿亿机器学习模型输入机器学习模型输入约约700700个全球威胁活动追踪418418新恶意代码/分钟20222022成立5 5千千员工*No unprofitable quarters on a non-GAAP

2、basis我们是一家新的重新定义网络安全未来的全球化公司3 3网络安全超级周期攻击面不断扩大由于云转型加速和远程办公趋势，企业的边界正在消失。.威胁向中小企业转移伴随着勒索软件等威胁对中小企业的冲击，仅靠合规性的安全实践已不再合适。安全团队不堪重负团队没有操作工具并有效应对威胁的人员、预算和专长。组织希望简化对于希望改善其安全运营的团队而言，重点是利用较少的供应商实现平台和工具整合。4 4企业实现弹性发展，需要具备智能安全运营能力工作场所工作场所多云多云IT-OTIT-OT 必须对端点、电子邮件、Web、网络和云进行威胁防护 工作场所边界混合着云/SAAS管理转型 针对关键基础设施的攻击，显著

3、影响着财务状况 OT环境获得安全性，并同时尽可能减少对于生产的影响 云App和错误配置大幅增加了受攻击面 云威胁探测和响应需要速度、可见性和自动化 数据安全数据安全 数据皇冠上的宝石需要额外的防护和合规性（例如GDPR）数据渗漏检测和响应需要速度、可见性和自动化探测探测响应响应恢复恢复适应适应准备准备智能安全运营智能安全运营面对不断增加的攻击复杂性和人才短缺状况，需要：获得对于整个多阶段攻击链的广泛可见性、关联性和智能性 跨多个工具和数据源的集成和自动化 高级威胁探测和搜寻 针对云和OT环境的威胁探测和评估 简化的架构和普通流程自动化5 5如何提升安全运营能力-Gartner,2021年XDR

4、市场指南XDR在多个安全控制工具之间共享威胁情报结合威胁情报进行各个控制点的安全检测将不同渠道的弱信号事件关联形成强信号通过关联分析和自动化降低漏报和误报整合相关性数据进行快速事件归类集中控管，优先级指导6 6对手TTP捕猎任务的优先次序假设开发CTI 事件响应对手的战术&技术响应的优先次序剧本（Playbook）开发事件响应 威胁捕猎新事件指标捕猎过程中可能会产生各种事件新的攻陷指标CTI 威胁捕猎威胁情报技术、指标、情景、威胁分析威胁捕猎取证、渗透测试、流分析、UEBA、逆向工程、攻击和破坏指标、假设事件响应安全事件监测、事件收集、归类、调查、遏制、补救、恢复安全运营流程的核心组成部分7

5、7Trellix 自适应防御模型 受攻击前受攻击前受攻击中受攻击中受攻击后受攻击后WHENWHEN做好准备做好准备减轻影响减轻影响总结总结经验教训经验教训WHYWHY(A)(A)应用手册应用手册WHATWHAT(O)(O)威胁威胁(D)(D)对策对策O)O)面临风险的能力面临风险的能力&资产资产(D)(D)响应手册响应手册(O)(O)攻击事件攻击事件(O)(O)了解了解&调查调查(A)(A)验证响应验证响应(D)(D)手册改进手册改进(O)(O)影响影响(O)(O)评估效力缺口评估效力缺口(A)(A)调整手册调整手册指标指标攻击模拟结果攻击模拟结果降低风险降低风险提高安全性提高安全性8 8Tr

6、ellix 智能安全运营的部署方式 基于SaaS的直接使用基于SaaS的解决方案:实现“一站式”快速快速 支持Hybrid的云-地 混合部署 加速分析和功能的可用性基于硬件或虚拟化、公有云的灵活部署虚拟机或公有云部署可分布式部署，中央集中管理：提供硬件、虚拟化、公有云多种平台的支持 支持高可用、性能扩展、分布式等灵活部署 多个组件灵活组合，开放性架构本地化硬件部署XDR9 9TrellixTrellix|Always Learning.Always Adapting.|Always Learning.Always Adapting.9 9 9 9Trellix XDR Trellix XDR

7、架构架构Broad form-factors云可视化云合规云负载保护边界保护数据中心防护网络鉴证分析基础架构和云应用基础架构和云应用数据保护钓鱼防护邮件安全端点安全平台端点检测和响应移动安全工作场所安全工作场所安全调查工作流编排和自动化事件流/威胁捕猎工作流管理工作流管理动态 IOC动态分析动态分析分析和机器学习文件和URL分析载荷分析高级沙箱威胁情报威胁情报威胁情报交换威胁活动跟踪风险评估和消减安全运营70+70+Partners650+650+Parsers190+190+Plug-ins100+100+Cloud Connectors合作伙伴控制点10 10开放、整合的本地化智能安全运营

8、跨安全运营的协作可实现更快的响应时间和运营效率调查和行动Trellix ConnectTrellix Endpoint Detection and ResponseTrellix SmartVision(NDR)Trellix Security Orchestrator(SOAR)Trellix Forensics收集、丰富和共享任何规模的数据Trellix Security ManagerTrellix Events Receiver将数据转化为洞察力Trellix InsightsTrellix Intelligent SandboxTrellix Advanced Correlation

9、 EngineTrellix Threat Intelligence ExchangeTrellix Trellix 开放性本地部署平台开放性本地部署平台Broad Data CollectionUEBASIEM:Long-termCompliance,archive&forensicsSIEMReal-time correlation&detectionSIEM:Short-term Search&huntingSandboxingEDR/NDRSOARForensicsEDRCollaboration with 3rd party solutions SIA Partner and Ope

10、n Solutions11 11安全自动编排与响应190 多个预定义的集成插件800 多个预建命令Trellix Labs编撰的专业知识库内置剧本模板和生成器基于多种角色的操作12 12案例分享 响应Follina 微软Office新零日漏洞的应急响应由SOAR编排，威胁情报共享驱动管理人员主动评估风险调整零日漏洞防护规则13 13案例分享 响应Follina 微软Office新零日漏洞的应急响应通过SOAR编排由威胁情报驱动自动化的完成威胁狩猎14 14让现有员工做得更多专家系统动态引导调查表面发现自动收集、汇总和可视化来自多个来源的证据。自动提出和回答问题以证明或反驳假设。动态调整手头案例，结合不同的策略和数据。并行探索许多假设以获得最大速度和准确性。高真实性帮助快速决断15 15Trellix 智能安全运营更快地检测检测威胁胁并采取行动动加快响应应速度与现现有员员工一起做更多事情 基于云的检测 ATT&CK 框架驱动的识别和映射 人工智能驱动的调查指南 动态调查引导提升所有分析师水平 快速遏制威胁 开放的安全生态系统的集成