一、资产清点

通过主机发现、主机清点、应用清点，结构化资产信息，提供与风险识别、入侵检测的关联能力与可视化查询界面。

1.主机清点
主机清点主要采集主机的相关信息，包括基本信息、系统帐号、端口列表、运行进程和开机启动项等。

2.应用清点
应用清点主要采集应用的相关信息，包括Web服务、Web框架、Web站点、JAR包和数据库等。

二、风险识别

事前发现安全风险，精准识别弱口令、高危漏洞、不合规安全基线、安全漏洞，为安全加固提供指导，降低威胁。
1.紧急风险检测
包括弱口令检测和高危漏洞检测。弱口令检测根据主机探针内置的弱口令库，检测系统帐号是否使用弱密码；高危漏洞检测通过POC检测，识别系统是否存在远程代码执行等高危漏洞。
2.安全基线检测
对操作系统、常见数据库等进行安全基线检测，发现可能存在的配置缺陷，降低主机、数据库被入侵的风险。
3.安全漏洞检测
通过版本匹配，检测主机是否存在系统漏洞和应用漏洞，可提供微软官方补丁进行修复。

三、入侵检测

多锚点实时监测异常登录、可疑帐号、异常进程、病毒木马、敏感文件篡改等入侵行为，第一时间发出告警信息。
1.异常登录检测
实时检测主机的登录地、登录IP和登录帐号，如果发现非常用登录地、非指定登录IP、非指定登录帐号等行为时，第一时间进行告警。
2.文件完整性检测
对黑客经常篡改的ps、lsof、开机启动项、定时任务等文件进行完整性检测，识别入侵后的篡改行为。
3.可疑帐号检测
实时检测系统帐号，识别出新增帐号、UID为0的帐号、影子帐号等可疑帐号进行预警。
4.异常进程检测
监控系统的进程行为，检测出木马进程、挖矿进程、隐藏进程、反弹Shell等恶意进程并进行实时告警。
5.病毒木马检测
提供二进制查杀引擎、WebShell查杀引擎、云查杀引擎，可以检测出常见的网页后门和二进制病毒。

四、实时防御

占用微量资源提供暴力破解防护与恶意代码防护功能，为系统提供适度的安全防御能力。
1.暴力破解防护
实时检测并分析黑客对系统帐号进行暴力破解密码的行为，提供封禁攻击IP的能力。
2.恶意代码防护
实时监测Web容器路径和系统敏感路径下的文件变动，并调用病毒引擎进行实时查杀，提供自动隔离病毒的能力。

五、安全处置

提供应急响应的人工安全服务接入，安全运营人员能够快速获取核心资产的快照信息，协助入侵事件处置。
应急响应
应急响应服务能够帮助受攻击客户快速、准确应对突发事件，快速清除木马后门影响、定位入侵原因
六、攻击溯源
智能分析海量安全日志，提供日志检索与可视化线索，帮助用户定位攻击来源、入侵原因。
1.登录日志采集
实时采集全量的主机登录日志，避免被黑客恶意删除，为入侵分析提供溯源依据。
2.指令操作采集
实时采集全量的指令操作日志，避免被黑客恶意删除，为入侵分析提供溯源依据。
3.系统日志采集
实时采集sysmon、audit等系统日志，提供内置的审计规则，协助定位攻击来源和手法。