思科快速遏制威胁

检测、分析并且阻止威胁

快速且自动删除受感染的终端。(2 分 26 秒)

威胁形势不断演变 - 您的环境也必须如此

恶意软件更加复杂、更加隐秘并且速度更快。少保护的 IoT(物联网)终端激增扩大了攻击面。这些条件在攻击前、攻击中和攻击后对安全团队发出降低风险的挑战。

许多组织已经可以检测异常。因此,攻击者开发恶意软件以便避开检测并且快速移动以窃取有价值的数据。检测和停止威胁对于 IT、安全和事件响应团队而言已经成为"提前完成任务"操作。

思科快速遏制威胁检测并自动停止明目张胆的威胁

思科快速遏制威胁解决方案从广泛的各种技术领域集成思科 ISE 及其安全技术合作伙伴,为响应安全事件采取网络减灾和调查行动。所有这些系统使用Cisco pxGrid,其作为高度可扩展的 IT 清算所,用于多个安全工具,以实时自动相互通信。通过 pxGrid,思科 ISE 提供许多用户身份、终端设备和可用于其技术合作伙伴的网络信息。这些合作伙伴平台可以发送告警给思科 ISE,从而对用户和设备执行操作,例如隔离、检查和阻止访问。

一个主要用例利用思科 FireSIGHT 管理中心 (FMC) 思科身份服务引擎 (ISE) 的功能。当检测到严重的威胁或者危害表现时,思科 FireSIGHT 管理中心向身份服务引擎发出警报以遏制遭受侵害的终端。然后,ISE 将实施说明自动推送到路由器、交换机、防火墙和无线控制器。可疑终端被遏制时,可以继续接受检查,在必要的情况下进行修复。之后,FMC 可以发送警告给 ISE,将终端恢复到其先前的访问策略。此过程可以确保将您的网络安全风险自动降低到检测到威胁时的程度。

此解决方案的强大力量不限于单个集成。思科和第三方产品的整个生态系统可以警告 ISE 动态更改策略。例如,Lancope 的 StealthWatch(现在属于思科)还可以在基于其监控的思科 IOS NetFlow数据发现遭受侵害的终端时告警给 ISE。

您可以将网络用作执行器

策略实施的执行方式有很多种。

思科 TrustSec 技术

软件定义分类是遏制受感染终端的最有效方式。可以在网络访问交换机或者受感染终端连接到的控制器上实施。或者,可以在诸如思科自适应安全设备 (ASA)、思科网络安全设备的下游设备或者数据中心交换机上执行。

可下载访问控制列表 (dACL)

ISE 可将 dACL 或 ACL 推送到交换机或控制器,以阻止或遏制位于交换机或无线控制器的设备。

VLAN

ISE 可以强制受感染的设备到隔离 VLAN。

解决方案支持

思科客户服务支持快速遏制威胁解决方案。pxGrid 操作指南帮助您正确设计和操作此解决方案。 查看操作指南

后续行动

有关思科快速遏制威胁的详细信息,请联系本地思科销售代表或者思科合作伙伴。