功能列表
|
类别 |
详细类别 |
开源版 |
商业版 |
说明 |
|
架构 |
是否支持横向扩展 |
支持 |
支持 |
根据流量情况,支持流量采集节点、分析节点横向扩展 |
|
是否支持多级部署架构 |
支持 |
支持 |
流量采集节点、分析节点、服务管理节点、可视化界面多级部署 | |
|
是否支持离线策略\规则更新 |
支持 |
支持 |
1、包检测支持离线更新 2、威胁情报支持离线更新 | |
|
是否支持代理服务器进行策略\规则更新 |
不支持 |
支持 |
1、包特征规则仅支持离线更新 2、商业版中威胁情报特征规则支持在线更新 | |
|
是否支持IPv6 |
支持 |
支持 |
| |
|
是否支持全流量存储 |
部分支持 |
部分支持 |
1、支持全流量会话日志留存; 2、支持包匹配命中部分Pcap留存; 3、不支持原始流量全量留存。 | |
|
是否具有沙箱模块 |
不支持 |
不支持 |
暂无沙箱 | |
|
是否具有威胁情报模块 |
支持 |
支持 |
1、集成自建威胁情报查询功能 2、支持外部跳转VT查询威胁情报 3、支持基于威胁情报的攻击检测 | |
|
是否支持软件部署? |
支持 |
支持 |
本系统是纯软件安装部署方式 | |
|
软件部署需要什么资源配置 |
- |
- |
最低配置 8核@3.0Ghz AVX2指令集 CPU 32GB DDR4 ECC 2666Mhz RAM/内存 480GB 72000 IOPS 固态硬盘存储 Intel X710 X520 i350 NIC/网卡 CentOS7.9-2009-X64-Minimal | |
|
推荐配置 24核@3.0Ghz AVX2指令集 CPU 64GB DDR4 ECC 2666Mhz RAM/内存 960GB 72000 IOPS 固态硬盘存储 Intel X710 X520 i350 NIC/网卡 CentOS7.9-2009-X64-Minimal | ||||
|
建议根据实际流量情况,合理配置各个节点的资源。 具体可参见项目文档:https://abyssalfish-os.github.io/getting-started/deploy-required/ | ||||
|
性能 |
支持流量的峰值大小 |
- |
- |
采集节点峰值为10Gbps |
|
丢包率多少 |
- |
- |
在1Gbps平均流量下,丢包率%1 | |
|
在1Gbps平均流量下,全包存储时长? |
- |
- |
1. 不支持全包留存 2. 全流量会话日志及相关特征占用存储资源约100GB/天 | |
|
数据 |
是否支持对流量的监测及可视化展示 |
部分支持 |
部分支持 |
1. 支持对指定目标流量的持续检测 2. 只有正在研发的专业版支持对流量数据的可视化展示。 |
|
是否支持加密流量检测 |
不支持 |
不支持 |
| |
|
是否支持加载加密流量私钥 |
不支持 |
不支持 |
| |
|
是否支持基于IP、端口、域名流量的筛选 |
部分支持 |
部分支持 |
探针支持BPF语法筛选IP、网段、端口流量,不支持筛选域名。 | |
|
是否支持PCAP包的导入导出 |
支持 |
支持 |
1. 后台支持手动导入、导出 2. 界面不支持导入,仅支持特征PCAP包导出 | |
|
能否区分流量数据和离线PCAP包数据 |
不支持 |
不支持 |
| |
|
是否支持基于IP、端口进行抓包 |
不支持 |
不支持 |
| |
|
支持哪些协议解析 |
- |
- |
1. 完整解析支持HTTP、DNS、ICMP 2. 非完整解析支持100+协议的识别 | |
|
是否支持针对未知协议(私有协议)的编写自定义解析规则 |
支持 |
支持 |
支持自定义插件形式 | |
|
是否支持原始数据包展示?如果支持,查询性能如何?(GB/秒) |
部分支持 |
部分支持 |
仅支持包特征命中的原始数据包。 | |
|
数据包留存,遇到存储空间不足时,如何处理?是否循环覆盖? |
- |
- |
存储空间超出阈值时,自动清理历史数据。 | |
|
保留原始数据包元信息有哪些 |
- |
- |
五元组、TCP flag、可解析的HTTP/DNS/ICMP协议信息 | |
|
是否支持通过RST包进行旁路阻断 |
不支持 |
不支持 |
| |
|
内置多少特征检测规则? |
50+ |
1000+ |
| |
|
内置多少威胁情报? |
40万+ 每月更新 离线更新 |
40万+ 每日更新 在线/离线更新 |
1、情报数据每日根据更新情况,提取高可信IOC用于识别威胁 2、另外用于检索的在线情报信誉库数据规模如下: (1)域名:3千万+ (2)IP:1千万+ | |
|
可视化界面 |
是否支持多级安全运营管理视图,如安全技术人员、管理者、高层管理者。 |
支持 |
支持 |
1. 管理员:全部权限 2. 分析员:配置权限中,仅有告警配置权限 3. 观察员:无配置权限 4. 支持限制数据资源。 |
|
是否支持安全态势概览?能够呈现哪些概览要素? |
部分支持 |
部分支持 |
暂无态势大屏,可根据需求定制 仅支持安全告警事件统计分布态势,呈现如下要素: 1. 告警类型及数量 2. 受害目标的TOP10攻击分布:告警类型、威胁源、受害资产组。 3. 24h攻击时序变化 4. 威胁源TOP5 5. 受害目标TOP5 6. 受害资产组TOP5 | |
|
是否支持集中化展示告警威胁?是否支持时间范围查询 |
支持 |
支持 |
| |
|
能展示几元组信息? 是否支持时间范围? |
- |
- |
五元组信息,支持时间范围查询。 | |
|
能否支持自定义增加元组信息? |
不支持 |
不支持 |
| |
|
是否支持高亮标注数据包内的攻击信息 |
不支持 |
支持 |
| |
|
是否支持将告警映射到ATT&CK并可视化呈现 |
不支持 |
支持 |
商业2.0版支持,还在内测中。 | |
|
是否支持溯源分析可视化 |
不支持 |
支持 |
| |
|
是否支持可视化关联分析?基于某个告警下钻出哪些信息?下钻几维?可视化承载下钻内容的最大渲染量是多少? |
不支持 |
不支持 |
正在研发的专业版,支持关于IP、端口等通讯关系的关联分析。在通过关系维度,不限制下钻层数。最大渲染量1000个元素。 | |
|
是否内置安全大屏?能否自定义修改? |
不支持 |
可定制 |
大屏一般根据实际需求进行定制 | |
|
是否支持黑客画像可视化 |
不支持 |
可定制 |
有相关数据,商业版可集成定制 | |
|
是否支持将可视化视图以pdf、jpg等格式导出 |
支持 |
支持 |
1、支持导出报告pdf 2、支持图表导出 | |
|
是否支持以资产重要程度视角展示攻击威胁 |
不支持 |
不支持 |
平台资产功能主要以识别、梳理、打标签为主,无资产分级、资产管理功能,可通过API将识别结果接入资产管理平台 | |
|
是否支持网络资产梳理和可视化呈现 |
不支持 |
支持 |
商业版提供被动资产测绘功能 | |
|
是否支持针对恶意木马病毒的沙箱结果可视化呈现 |
不支持 |
不支持 |
暂不支持沙箱模块 | |
|
是否支持可视化呈现系统配置、系统操作审计等功能 |
部分支持 |
部分支持 |
支持可视化系统配置;暂无操作审计 | |
|
是否支持自定义系统名称、logo和载入界面 |
不支持 |
不支持 |
OEM可定制替换相关信息 | |
|
相关功能 |
是否支持第三方威胁情报接入 |
不支持 |
不支持 |
暂不支持,商业版支持定制化 |
|
是否支持对接企业的信息资产管理系统 |
不支持 |
不支持 |
暂不支持,商业版支持定制化 | |
|
是否支持告警日志syslog导出?自定义格式? |
部分支持 |
部分支持 |
1、界面支持导出数据到文件,支持导出字段选择。 2、支持导出事件报告 3. 支持告警日志推送到syslog,遵循syslog日志格式,不支持自定义格式 | |
|
是否支持流量原始日志syslog导出?自定义格式? |
不支持 |
不支持 |
1、支持以Netflow格式导出流量原始日志 2、不支持syslog | |
|
是否支持国密算法 |
不支持 |
不支持 |
仅用户密码涉及加密,可支持国密改造 | |
|
是否支持使用加密协议进行设备登录管理和通讯 |
支持 |
支持 |
支持https | |
|
是否支持NTP同步 |
支持 |
支持 |
| |
|
是否支持多用户同时登录使用 |
支持 |
支持 |
| |
|
是否支持离线版本升级、代理模式版本升级、云端更新升级? |
仅支持离线升级 |
支持离线升级 |
| |
|
是否支持云查杀联动 |
不支持 |
不支持 |
| |
|
是否支持检测黑白名单 |
支持 |
支持 |
| |
|
沙箱 |
沙箱检测功能 |
无 |
无 |
|