技术指标项

功能参数

部署

部署方式

系统支持软硬件环境部署，支持旁路监听流量的方式，同时支持agent软节点探针的部署，支持对软节点探针的流量进行过滤和处理。

资产梳理

协议解析接口识别

支持解析HTTP、FTP、SMB、SMTP、IMAP、POP3等协议，并自动识别流量中的接口，在web界面能够查询和查看接口信息。

流量过滤

支持按照IP白名单和IP黑名单的方式过滤所需流量；支持通过URL白名单和黑名单的方式过滤所需流量；支持通过CSS、JS、资源文件、数据文件、动态脚本、HTML、XML、JSON等资源类型进行过滤；支持通过响应码进行过滤。

接口基础信息展示

接口展示信息需要包括接口名称、所属域名、请求方法、资源类型、接口类型、认证类型、敏感等级、接口包含的敏感信息标签、访问次数、访问流量、首次发现时间、活跃时间、敏感类型、敏感量。

接口类型识别

支持内置识别接口类型，根据接口功能分类包括但不限于登录接口、命令操作接口、管理接口、服务接口、上传接口、下载接口等

接口资源类型

支持识别接口资源类型，至少需要能够识别资源类型包括动态脚本、HTML、JSON、XML、CSS、JS、数据文件。

账号识别

支持账号资产识别管理，支持从流量中解析还原应用系统登录账号，支持账号解析的位置至少包含：请求头、请求体、响应头、响应体。能够自定义账号解析规则，能够统计30天内账号登录终端的个数，能够展示账号活跃状态，并能够根据账号特征打标签。

账号管理

支持通过web页面对识别出的账号进行管理，可编辑其他属性，如账号所属终端IP、所属部门、账号所属人员的退休时间等

支持将账号和人员关联，将账号和人员姓名、人员组织架构归属信息关联，如所属区域、一级部门、二级部门等

敏感数据识别

支******银行账户卡号、身份证号、统一社会信用代码、业务系统账号，可以通过web进行查看和管理。能够指定敏感数据的识别解析位置，如请求体、响应体、cookie。

敏感识别规则

支持自定义识别规则；

识别方式支持正则、key-Value和AI识别等方式；支持指定位置的内容识别，如请求、响应、参数等位置；支持针对每条规则单独进行开关操作。

支持针对指定应用、指定接口开启AI识别，并能够剔除选定的语料黑名单。

终端梳理

支持自动从流量中发现终端信息；

支持识别终端的操作系统；

支持识别终端的浏览器类型；

支持识别终端的形态，如PC、手机、平板等；

支持识别含有XFF的终端

接口添加

支持手动添加API接口

接口清单

支持资产类信息数据导出；

支持以表格形式导出API接口清单，导出的文件包括接口地址、所属域名或应用、接口包含的敏感信息标签等信息；

支持全量导出、选中导出和筛选结果导出等导出方式。

接口管理

支持通过web页面对自动识别和手动添加的接口进行管理，能够查看接口的URL、目的IP、端口、请求数据标签、返回数据标签、首次访问时间、最后访问时间等信息；能够编辑接口名称、接口功能类型、接口标签等信息

风险监测

弱点识别

支持基于OWASP API TOP10接口弱点检测模型，包括但不限以下检测模型：参数可遍历、basic认证、明文密码认证、数据接口无认证、跨域访问、cookie保存密码、SQL查询接口、SQL执行接口等风险模型；

支持弱点生命周期管理，提供新发现、待确认、已确认、已修复和忽略等状态管理；

支持弱点规则可基于业务特点进行灵活的参数调整；

支持针对每条规则单独进行开关操作

自定义弱点检测项

支持按照需要修改弱点发现规则，如调整各类参数阈值、增加删除弱口令字典等

风险模型

内置业务风险模型，如退休人员异常活跃、终端多终端频繁切换登录、账号跨区登录使用等

自定义风险模型

支持自定义配置告警策略,包括风险对象：指定账号，指定网段，指定时间段，指定应用系统，指定接口,指定风险周期、源IP、XFF IP、秒、分钟、天，设定多种风险指标；

支持等于、包含、空值判断等多种判断逻辑；

支持周期判断逻辑支持去重功能，以便统计累计总次数或者总个数；

支持进行告警削减，可指定削减周期，防止单个源IP、目的IP、账号、XFF-IP告警过多。

数据审计

取证溯源

支持针对监测发现的安全事件提供取证溯源能力，对事件相关的原始数据进行完整证据固定，支持对取证相关数据进行脱敏展示，能够根据权限设置管理员具有查看非脱敏数据的权限。

数据检索

支持通过数据包的来源和目标地址、端口信息、账号、应用、域名、完整X-Forwarded-For地址信息、原始报文内容、状态码、Flow ID进行检索。

流量审计

支持对收集的网络流量进行全量审计和分析，可基于主体用户账号/用户访问IP等进行检索，可通过选中一次访问事件进行账号/用户的访问轨迹查看

HTTP审计

针对HTTP进行全方位审计，审计功能提供重要审计、敏感存储、全量保存等多重保障机制保存信息；

支持对应用接口进行审计，审计内容包括但不限于请求头、响应头、请求体、响应体、账户、终端等；

支持对敏感信息识别和提取，在审计事件中显示敏感信息条目数；

支持在审计事件中显示账号关联人员姓名和部门等信息；

支持显示HTTP协议的原始信息以便溯源和查找问题；

支持审计白名单和黑名单，可灵活基于IP、URL、接口资源类型、响应码等条件进行过滤保存；

支持对审计的敏感信息脱敏显示；

数据检索

API审计事件、资产列表和风险告警等页面提供包含搜索项、搜索逻辑和搜索值的高级搜索功能；

支持搜索条件保存，方便重复使用；

支持精确搜索、模糊搜索；

支持排除搜索逻辑；

支持单个搜索条件内输入或选择多个搜索值；

支持枚举类搜索项自动显示无需手动输入；

应用流转关系

支持针对选定应用绘制访问关系图，能够按照选定的时间周期展示应用的访问终端TOP10，应用包含的敏感接口TOP10，该应用访问其他内部应用的TOP10，访问其他应用接口的次数TOP10.

数据概览

首页展示

首页提供资产统计、流量趋势、资源利用率、业务风险等多种类型的数据看板；

支持各类数据看板位置和大小自定义调节；

流量趋势和资源利用率趋势图标可以选择1小时、1天、7天等多种时间周期，可以通过无级滑动放大来查看细节数据；

提供设备审计的EPS数据，并可实时更新

运维管理

系统监控

支持SNMP代理功能，方便设备被监控纳管；

支持SNMPv1、v2c和v3版本

支持对系统性能指标实时监控功能，包括不限于CPU、内存、存储等监控指标，并提供OID说明

进程监控

支持针对系统组件进行监控，至少包括数据库模块、探针模块、web服务模块。

账号管理

账号支持三权分立模式，可配置管理员、用户管理员、审计管理员

账号权限

支持新建配置管理员账号，并能够以应用所属分配操作权限，实现权限和数据隔离，每个账号访问自己负责的域名、资产组，进行策略配置、日志查看和资产管理

支持角色的产品页面权限控制，控制细粒度可以精确到每个页面内的查看、新增、编辑和删除等功能；

支持基于角色控制对审计敏感内容的脱敏显示

审计信息列表展示管理

支持列表页标签自定义显示或隐藏内容；

支持列表页标签和数据显示位置的拖动调整

页面水印

支持添加页面水印，可自定义水印内容，最大程度给浏览者的不规范行为，如敏感信息截图等起到震慑和警示作用

时间设置

支持手动调整系统时间，可以调用操作设备时间进行对时；

支持NTP协议，可以与NTP服务器同步时间

访问控制

支持设置可访问设备白名单，格式配置需要支持IP地址、IP段、CIDR格式。

日志转发

支持日志转发功能，支持TCP和UDP协议，可同时向多个地址转发日志

登录认证

支持密码多次输入错误自动锁定，错误次数和锁定时间可配置；

支持双因子登录