PT Network Attack Discovery 11 (Linux) 下载 - 网络检测和响应 (NDR/NTA) 系统

PT Network Attack Discovery 11 (Linux) - 网络检测和响应 (NDR/NTA) 系统

作者主页：sysin.org

---

Positive Technologies

PT 网络攻击发现
让隐藏的威胁变得可见

产品概述

PT Network Attack Discovery 是一种网络检测和响应 (NDR/NTA) 系统，用于检测网络外围和内部的攻击。该系统使隐藏的威胁可见，即使在加密流量中也能检测可疑活动，并帮助调查事件。

• 提供网络可见性

PT NAD 可识别超过 85 种协议，并解析 30 种最常见的协议，最高可达 L7 级别 (sysin)。全面了解基础设施中正在发生的情况，以确定引发攻击的安全缺陷。

• 检测隐藏的威胁

该系统自动检测攻击者渗透网络的企图，并根据各种指标识别基础设施上的黑客存在，包括黑客工具的使用以及向攻击者服务器传输数据。

• 使 SOC 更有效

PT NAD 为安全运营中心提供完整的网络可见性：了解攻击是否成功、重建杀伤链并收集证据。为此，PT NAD 存储元数据和原始流量，帮助快速查找会话并识别可疑会话，并支持流量导出和导入。

PT NAD 用户可以在单个源中查看威胁数据

借助新版本的 PT NAD，您可以使用新的分析模块检测攻击 (sysin)，收集有关网络主机的最新信息，并在单个源中集中了解检测到的威胁。

检测东/西流量中的恶意活动

PT NAD 分析北/南和东/西流量，并检测横向移动、利用漏洞的尝试以及针对域和内部服务上的最终用户的攻击。

PT NAD 检测

加密流量中的威胁

横向运动

使用黑客工具

利用漏洞

恶意软件活动

过去的袭击

恶意规避安全工具

连接到自动生成的域

不遵守信息系统政策

PT NAD 如何映射到 MITRE ATT&CK

了解网络检测和响应系统 PT Network Attack Prevention 如何识别 MITRE ATT&CK 中描述的 117 种对手技术。

甚至可以检测经过修改的恶意软件

PT NAD 会针对所有危险威胁发出警报，甚至检测恶意软件的修改版本。为了描述全方位的网络威胁，我们的专家不断探索最新的恶意软件样本和黑客工具、技术和程序。他们创建的每条规则都涵盖整个恶意软件家族。

运作原理

PT NAD 捕获并分析周边和内部基础设施的流量 (sysin)。这样可以在网络渗透的最早阶段以及在尝试在网络上立足并发起攻击期间检测黑客活动。

保持攻击的私密性

PT NAD 是一种本地解决方案。所有数据都存储在客户端基础设施上，永远不会离开公司边界。有关攻击和损害的信息不会传输到外部，从而最大限度地降低声誉风险。

用例

安全策略合规性

PT NAD 检测 IT 配置缺陷和不遵守安全策略的情况，否则可能为攻击者提供入侵途径。过滤器有助于快速识别以明文形式存储的凭据、弱密码、远程访问实用程序以及隐藏网络活动的工具。将感兴趣的过滤器固定在单独的小部件中以供快速参考。这是一个显示所有非加密密码的小部件：

检测外围和网络内部的攻击

凭借嵌入式机器学习技术、高级分析、独特的威胁检测规则、妥协指标和回顾性分析，PT NAD 可以在最早阶段以及攻击者侵入基础设施后检测到攻击。

PT 专家安全中心每周更新两次规则和危害指标 (sysin)。更新数据库不需要持续连接到 Positive Technologies 云。

高级分析模块可以识别复杂的威胁和网络异常。与攻击检测规则不同，它们考虑了攻击者行为的许多参数，并且不依赖于单个会话的分析。

攻击调查

由于 PT NAD 保存原始流量和会话数据的副本，取证调查人员可以：

• 本地化攻击。
• 重建杀伤链。
• 检测基础设施中的漏洞。
• 采取措施防止类似攻击。
• 收集恶意活动的证据。

威胁狩猎

PT NAD 非常适合威胁搜寻和检测标准网络安全工具遗漏的隐藏威胁。拥有必要技能和基础设施特定知识的安全分析师可以凭经验检验假设。因此，PT NAD 可以确定是否确实存在黑客组织、内部威胁或数据泄露，如果假设得到证实，则可以采取相应的主动措施。

主要特征

会话过滤
过滤会话提供了一种查找 恶意活动、妥协迹象和配置错误。PT NAD 可以 按 1,200 个参数中的任意一个快速对会话进行排序并显示每个信息的详细信息。

攻击检测
系统通知事件并自动 评估它们有多危险 (sysin)。仪表板提供有关所有攻击的关键信息：多少数量，危险的类型、危险程度以及发生时间。对于任何攻击点击查看详情。

回复一目了然
每次攻击的信息显示受影响的 主机、事件时间、会话数据以及黑客工具、技术和程序 (TTP) MITRE ATT&CK 分类。有了攻击阶段信息，您就可以采取正确的措施来完成工作。

通过单一源了解新的攻击和威胁
活动源将已识别的威胁列表收集到一个位置，将有关类似活动的消息合并为一个，并允许您管理它们。您可以将问题标记为已解决或不再跟踪此类活动。

监控网络主机
PT NAD 用户现在拥有有关网络主机的最新信息 (sysin)。主机的变化也会被跟踪。PT NAD 用户将知道网络上是否出现了新主机、应用程序协议是否已更改或操作系统是否已更改。此类数据还可以帮助识别可疑活动。

与 SIEM 和沙箱解决方案集成

通过利用强大的集成支持，用户可以管理事件并检测文件流量中的恶意内容。

系统要求

Software requirements

PT NAD is compatible with 64-bit server versions of the following operating systems:

• Debian 10 Buster
• Astra Linux Special Edition 1.7

Operation of Linux kernels up to version 5.10 inclusive is guaranteed. It is recommended that you install PT NAD on a clean operating system.

The operating system in which you want to install PT NAD must meet the following requirements:

• No swap partition or file.
• Required mount points are created.
• No antivirus scanners running.
• No user with the login nad.

Mount points

Mount point	Type of data carrier	Server (in case of multiserver configuration)	Used for
/	SSD	Any	PT NAD modules and OS
/es	SSD	Main and additional with the Elasticsearch module	Storing traffic metadata
/pcaps	SSD	Additional with the sensor	Storing the original copy of traffic

It is recommended to use the Google Chrome or Mozilla Firefox browser to work with the PT NAD interface.

下载地址

PT Network Attack Discovery 11.0 for Debian
百度网盘链接：https://sysin.org/blog/pt-network-attack-discovery/