攻防演练至今已走过7个年头，逐渐成为网络安全防御体系中至关重要的一环。随着攻防演练对抗水平不断升级，攻击手段愈发隐蔽，攻击自动化程度逐步提高，技术储备也越来越有针对性，从广撒网到精准打击，这些都给蓝队安全防护带来了极大挑战。

睿士主机威胁溯源系统此次全新升级，在Webshell、高级攻击等方面检测能力得到全面提升，并且在易用性和稳定性方面均大幅提高，此外，全新支持云环境（容器）取证分析，可全面助力用户守好最后一道防线，打赢攻防演练攻坚战！

大战在即，您真的做好万全准备了吗

取得终端（包含PC终端、服务器、容器等）的控制权是攻击方最重要的目的。终端具备数量庞大、分布广泛、形态多样、部署架构错综复杂等特性，在安全运营和事件响应过程中，您是否也面临以下困惑：

（一）是否能快速对失陷终端开展自动化取证调查？

终端作为攻击的最终目标，数量庞大、系统多元，加之近年来云计算的发展，容器化盛行，终端形态愈加多样，因此安全事件发生后，终端取证调查对于安全人员的要求越来越高。在有限的安全专业人员支撑下，如何做到在快速恢复业务系统的同时完成对问题终端快速全面的取证响应成为当前事件处置的一大挑战。

（二）当监测到安全事件告警时，如何快速研判可疑终端？

用户通过网络边界监测、内网监测以及主机/终端监测设备会收到大量的事件告警，面对各类繁杂告警，如何快速甄别真假安全事件、快速研判该告警是否为真正的入侵？

（三）攻击事件“未发现≠未发生”，如何快速评估高价值主机被控风险？

新的攻击手段层出不穷，隐蔽绕过方式多样，在现有安全设备未告警的情况下，尤其是重点机器，如何快速评估其是否已被隐蔽攻击而未被监测发现，从而确保该机器一定为安全的状态？

睿士主机威胁溯源系统助您化解难题

中睿天下睿士主机威胁溯源系统从攻击驻留痕迹视角出发，聚焦高级威胁检测，可有效发现各类绕过现有防御的攻击痕迹，可应用于攻防演练备战、临战和实战全过程多种场景，提升用户风险排查、事件研判和应急处置能力。

睿士主机威胁溯源系统新版本亮点

全面支持容器环境取证分析：支持Docker Engine和基于containerd的k8s容器环境取证分析，快速排查Linux黑客工具和webshell后门。

高级威胁检测能力倍升：基于APT攻击持续跟踪与研究，以及对近年来红队攻防手法演进分析，安全研究团队针对攻击痕迹检测模型全面优化，检测规则数量和质量双重大幅度提升，可有效识别绕过现有防护体系的高级威胁。

取证数据全局检索优化：支持单机取证数据全局模糊检索，可基于线索快速从文件系统、进程、注册表、启动项、网络等异构数据中搜寻关联数据，提高安全分析的效率。

关于睿士主机威胁溯源系统

睿士主机威胁溯源系统是中睿天下推出的业内首款从攻击者视角出发，专注于黑客入侵活动痕迹的集高级威胁检测与威胁取证分析为一体的安全产品。区别于传统终端安全防护和安全检测软件，产品从黑客攻击后在终端驻留痕迹的角度来发现高级威胁，支持常驻和绿色按需取证检测，具有部署灵活、业务系统影响小等特点，可有效发现驻留在终端中隐蔽性强、危害性大的高级持续攻击（APT）痕迹。产品全面兼容主流信创环境，一键快速完成终端数据采集，自动化生成威胁报告，提供多维专家分析视角，分钟级完成终端威胁扫描和排查，适用于终端日常安全巡检、安全应急响应工具、专项安全检查等场景。目前，产品已广泛应用于金融、能源、国防、监管等关键信息基础设施行业客户。