面对日益严峻的网络安全形势，为了增强安全防护能力，不同单位经常不定期举行以真实网络目标为对象的攻防实战演练，旨在发现、暴露和解决安全问题，检验各个企业单位的网络安全防护水平和应急处置能力。
作为攻防实战防守方的蓝队，必须具备从准备阶段、自查整改、预演阶段到正式防护、项目复盘总结等全流程能力，需要专业的技术专家提供专业的防护方法和使用专业的防护工具。针对攻防实战防护和日常网络安全分析场景需求，为蓝队技术专家提供超融合态势感知一体机-XDR解决方案，一体化工具全面满足资产发现、漏洞、弱口令、配置弱点、内网及互联网暴露面发现、终端安全管理、安全威胁监测、防护策略优化、溯源排查总结等使用需求。

CSAP-X超融合态势感知一体机是以攻防数据安全分析为核心，打造的一款网络安全运营管理一体化设备，由基础分析平台、威胁检测探针、安全设备管理、漏洞扫描、安全知识图谱、终端安全管理等多个组件组成，具有态势感知分析、威胁检测分析、资产发现、脆弱性主动扫描、终端安全管理、AI智能深度分析、SOAR自动化编排响应、溯源取证分析等能力；全面满足攻防实战安全分析和网络安全运营管理需求。

图片
风险识别—多维度风险发现

与常规安全分析平台不同的是，对于全网的风险发现，无需多设备复杂部署，新华三超融合态势感知一体机能够从资产梳理、脆弱性检测、攻击威胁检测、异常行为检测等方面进行全网风险发现，在攻防实战场景中做到极速应用。
●资产梳理：具备通过主动和被动进行资产信息发现，识别资产基础信息、开放端口、运行服务情况；资产梳理发现暴露面，可以最大化缩小攻击面。
●脆弱性检测：自动化全网脆弱性扫描，包含系统扫描、Web扫描、数据库扫描、安全基线扫描、弱口令扫描能力。全网漏洞信息分析管理，资产画像脆弱性分析，并提供相关处置建议；有效梳理脆弱性风险，及时加固，减小被利用风险。
●攻击威胁检测：包括入侵威胁检测、防病毒检测、应用识别、URL过滤、WEB攻击检测、威胁情报匹配检测等功能。多维度威胁检测，可以有效发现多种攻击威胁，清晰红队攻击手段。
●异常行为检测：对于用户行为基线的建立及状态跟踪，通过资产、用户的流量、动作等行为偏离情况，建立各种场景化模型，判断各类异常行为，发现隐藏的未知威胁；异常行为的检测弥补了只通过特征库检测的空隙，让威胁攻击无处遁形。

分析研判—智能安全分析

分析研判的关键在于如何更智能的对原始事件进行安全分析，智能分析极大提高了安全事件告警的准确性。除了基础的关联分析外，超融合态势感知一体机能够进行AI安全知识图谱分析、专家推理分析、场景化分析等。
●AI安全知识图谱分析：从基础安全分析到APT、蠕虫病毒传播、未知威胁、僵尸网络等复杂场景分析，全面掌握规模群体性事件的感染路径。
●专家推理分析：是对安全事件的进一步分析，依托攻防专家经验能力，分析其在攻击全图中的作用，学习历史事件处理结果，准确展示资产的安全威胁等级和威胁判定依据。
●AI场景化分析：利用LSTM(长短记忆网络)算法、CNN模型（卷积神经网络）等生成分类器模型，进行DGA域名访问、DNS隐蔽隧道利用等方面的检测，从而发现僵尸主机或者APT攻击在命令控制阶段的异常行为，以单独场景化分析直观呈现威胁攻击情况。