SOC安全運(yùn)營(yíng)中心產(chǎn)品介紹_第1頁(yè)
SOC安全運(yùn)營(yíng)中心產(chǎn)品介紹_第2頁(yè)
SOC安全運(yùn)營(yíng)中心產(chǎn)品介紹_第3頁(yè)
SOC安全運(yùn)營(yíng)中心產(chǎn)品介紹_第4頁(yè)
SOC安全運(yùn)營(yíng)中心產(chǎn)品介紹_第5頁(yè)
已閱讀5頁(yè),還剩52頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

首頁(yè)天融信SOC安全運(yùn)營(yíng)中心介紹高級(jí)安全顧問(wèn):陶越題綱SOC背景及基礎(chǔ)TSM安全運(yùn)營(yíng)中心TSM系統(tǒng)特點(diǎn)SOC相關(guān)名詞術(shù)語(yǔ)SOC(SecurityOperatingsCenter)安全運(yùn)營(yíng)中心/安全管理平臺(tái)SIM(SecurityInformationManagement)安全信息管理SEM(SecurityEventsManagement)安全事件管理SIEM(SecurityInformationandEventsManagement)安全信息與事件管理LM(LogManagement)日志管理SMC(SecurityManagementCenter)安全管理中心MSS(ManagedSecurityService)可管理的安全服務(wù)/安全托管服務(wù)MSSP(ManagedSecurityServiceProvider)安全托管服務(wù)提供商MNS(ManagedNetworkService)可管理的網(wǎng)絡(luò)服務(wù)/網(wǎng)絡(luò)托管服務(wù)NOC(NetworkOperatingsCenter)網(wǎng)絡(luò)運(yùn)營(yíng)中心SOC命名來(lái)源于NOC,概念來(lái)源于MSS國(guó)際一般指SOC是一個(gè)中心,有固定的場(chǎng)所,有一個(gè)技術(shù)支撐平臺(tái)、有大屏幕系統(tǒng)、有組織人員、有一套運(yùn)營(yíng)的流程,為第三方提供安全管理服務(wù)。國(guó)際通行的SOC理念是服務(wù)和產(chǎn)品圍繞MSS運(yùn)營(yíng)展開(kāi)的,是支撐MSS的技術(shù)基礎(chǔ),鮮見(jiàn)以SOC命名的產(chǎn)品國(guó)內(nèi)一般指SOC是一個(gè)技術(shù)平臺(tái),是一個(gè)傳統(tǒng)概念上的成熟安全產(chǎn)品,而不考慮運(yùn)維,將產(chǎn)品與運(yùn)營(yíng)之間的關(guān)系裁剪掉了MSSandMSSP為了節(jié)省客戶的相關(guān)安全投入,即客戶將安全外包給MSSP,以小于原投入的資金獲得更加專業(yè)的業(yè)務(wù)安全。概念來(lái)源于MNS,是相對(duì)網(wǎng)絡(luò)托管服務(wù)提出的安全管理服務(wù)全球12大MSSP:AT&TBTIBMIntegralis(專注于歐洲市場(chǎng))MegaPathPerimeterSavvisSecureWorksSolutionarySymantecVerizonVeriSign(MSS業(yè)務(wù)快要賣(mài)光了)Gartner(高德納)公司將MSS定義為以下幾類:

防火墻或IPS的監(jiān)視與托管IDS的監(jiān)視與托管

DDOS防護(hù)郵件反病毒/反垃圾托管服務(wù)防病毒網(wǎng)管托管服務(wù)

安全信息管理安全事件管理網(wǎng)絡(luò)、服務(wù)器或應(yīng)用的弱點(diǎn)掃描托管

安全弱點(diǎn)或威脅通知服務(wù)日志分析托管監(jiān)視/托管設(shè)備報(bào)告與故障響應(yīng)報(bào)告MSS服務(wù)方式SOC、MSS、MSSP及User間關(guān)系MSSPMSSSOCUserISP應(yīng)用商安全廠商專業(yè)服務(wù)商咨詢商入侵監(jiān)測(cè)遠(yuǎn)程監(jiān)控漏洞評(píng)估事件管理合規(guī)檢測(cè)運(yùn)維報(bào)告漏掃系統(tǒng)大屏監(jiān)控事件工具日志工具病毒系統(tǒng)運(yùn)維人員FirewallIDSIPSAuditAV支撐解決方案建設(shè)提供服務(wù)產(chǎn)品利用管理系統(tǒng)及服務(wù)SOC產(chǎn)生的背景伴隨MSS的發(fā)展而產(chǎn)生的由ISS(IBM收購(gòu))在1998年提出MSS概念1999~2001年ISS先后在全球建立了多個(gè)SOC中心1998年CheckPoint推出了CheckPointProvide-1防火墻/VPN集中管理平臺(tái),提供給MSSP實(shí)現(xiàn)多臺(tái)防火墻的管理2000年Counterpane(BT收購(gòu))推出MSS服務(wù),在全美范圍內(nèi)構(gòu)建安全監(jiān)控中心,以此實(shí)現(xiàn)MSS服務(wù)2001年WatchGuard推出防火墻/VPN狀態(tài)監(jiān)測(cè)和日志分析報(bào)表系統(tǒng)2001年Symantec改造了圣安東尼奧的SOC中心,超過(guò)140名安全專家提供24*7*365的安全管理服務(wù),并且陸續(xù)在全球建有5個(gè)SOC中心2000年ArcSight開(kāi)發(fā)了SIEMS系統(tǒng),2004年發(fā)布了ESM3.0,Gartner從2005年至2007年的SIEMMagicQuadrant評(píng)測(cè)分析中,ArcSightESM也是連續(xù)3年保持在領(lǐng)導(dǎo)者位置SOC定位于MSS服務(wù)的提供,或開(kāi)展MSS服務(wù)的ISP也是其目標(biāo)客戶面向普通客戶的主要是SIEM系統(tǒng)SOC產(chǎn)生背景(續(xù))2001年安氏利用ISS的知識(shí)將MSS的概念引入中國(guó),并與世紀(jì)互聯(lián)簽訂了中國(guó)第一份MSS合作協(xié)議與此同時(shí)SOC的概念登陸中國(guó),國(guó)情不同SOC概念逐漸逐漸被源SOC概念中的工具替代2004年安氏推出了安全運(yùn)營(yíng)中心解決方案同年啟明推出了泰合安全運(yùn)營(yíng)中心系統(tǒng)同年天融信推出企業(yè)安全平臺(tái)(EnterpriseSecurityPlatform)2.0系統(tǒng),2006年推出TSM3.0近幾年以SOC命名技術(shù)平臺(tái)的用法逐漸被安全管理平臺(tái)命名方式替代全球SIEMS主流廠商領(lǐng)導(dǎo)研究者參與者挑戰(zhàn)者SIEMS功能定義:標(biāo)準(zhǔn)化整合化關(guān)聯(lián)化分析化SOC市場(chǎng)劃劃分((國(guó)際際)ITSIEMMSSSOC服務(wù)工工具用戶IT系統(tǒng)提供安安全托托管服服務(wù)建立安安全運(yùn)運(yùn)營(yíng)中中心MSSPMSSP為提供供MSS,需要要構(gòu)建建服務(wù)務(wù)型的的SOCSOC市場(chǎng)劃劃分((中國(guó)國(guó)特色色)IT安全管管理平平臺(tái)SIMorSEMandSMCSOC幫助助用用戶戶部部署署服服務(wù)務(wù)工工具具(集集成成平平臺(tái)臺(tái)運(yùn)運(yùn)維維服服務(wù)務(wù)))用戶戶IT系統(tǒng)統(tǒng)提供供產(chǎn)產(chǎn)品品解解決決方方案案有些些政政府府、、企企業(yè)業(yè)或或組組織織因因?yàn)闉閿?shù)數(shù)據(jù)據(jù)的的私私有有與與機(jī)機(jī)密密性性等等問(wèn)問(wèn)題題,,需需要要自自行行進(jìn)進(jìn)行行集集中中的的安安全全管管理理,,需需要要構(gòu)構(gòu)建建自自用用型型的的SOC安全全廠廠商商未來(lái)來(lái)幾幾年年MSS可能能會(huì)會(huì)成成為為國(guó)國(guó)內(nèi)內(nèi)安安全全市市場(chǎng)場(chǎng)的的熱熱點(diǎn)點(diǎn)。。SOC技術(shù)術(shù)SOC是MSS實(shí)現(xiàn)現(xiàn)的的基基礎(chǔ)礎(chǔ),,它它的的構(gòu)構(gòu)建建包包括括::人人員員((安安全全專專家家))、、工工具具、、流流程程、、地地點(diǎn)點(diǎn)及及物物理理設(shè)設(shè)施施((網(wǎng)網(wǎng)絡(luò)絡(luò)、、監(jiān)監(jiān)視視屏屏))等等。。它它提提供供安安全全的的集集中中運(yùn)運(yùn)營(yíng)營(yíng),,包包括括安安全全研研究究、、安安全全評(píng)評(píng)估估、、安安全全策策略略制制定定、、安安全全集集中中監(jiān)監(jiān)視視、、安安全全響響應(yīng)應(yīng)、、安安全全設(shè)設(shè)備備配配置置等等。。國(guó)際際SOC中采采用用的的技技術(shù)術(shù)是是由由其其MSS業(yè)務(wù)務(wù)決決定定的的,,沒(méi)沒(méi)有有完完整整的的SOC產(chǎn)品品,,根根據(jù)據(jù)業(yè)業(yè)務(wù)務(wù)細(xì)細(xì)分分產(chǎn)產(chǎn)品品國(guó)內(nèi)內(nèi)目目前前SOC采用用的的技技術(shù)術(shù)業(yè)業(yè)界界公公認(rèn)認(rèn)為為““安安全全管管理理平平臺(tái)臺(tái)””。。它它由由國(guó)國(guó)內(nèi)內(nèi)安安全全市市場(chǎng)場(chǎng)的的現(xiàn)現(xiàn)狀狀決決定定,,是是一一個(gè)個(gè)龐龐大大的的系系統(tǒng)統(tǒng)。。它的的功功能能覆覆蓋蓋了了很很多多細(xì)細(xì)分分產(chǎn)產(chǎn)品品的的功功能能如如::SIEM、設(shè)設(shè)備備管管理理、、漏漏洞洞管管理理、、合合規(guī)規(guī)性性及及風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理等等。。并并且且有有趨趨勢(shì)勢(shì),,變變得得更更加加龐龐大大,,會(huì)會(huì)整整合合進(jìn)進(jìn)更更多多的的安安全全功功能能進(jìn)進(jìn)行行集集中中的的安安全全管管理理。。國(guó)內(nèi)內(nèi)安安全全管管理理平平臺(tái)臺(tái)功功能能定定義義定位位以資資產(chǎn)產(chǎn)為為核核心心、、以以事事件件管管理理為為關(guān)關(guān)鍵鍵流流程程、、以以風(fēng)風(fēng)險(xiǎn)險(xiǎn)控控制制為為目目標(biāo)標(biāo)的的面面向向安安全全的的綜綜合合一一體體化化管管理理平平臺(tái)臺(tái)系系統(tǒng)統(tǒng)基本本功功能能資產(chǎn)產(chǎn)管管理理::資資產(chǎn)產(chǎn)錄錄入入、、查查詢?cè)?、、修修改改、、屬屬性性管管理理、、統(tǒng)統(tǒng)計(jì)計(jì)等等事件件管管理理::事事件件采采集集、、過(guò)過(guò)濾濾、、歸歸并并、、關(guān)關(guān)聯(lián)聯(lián)分分析析、、事事件件監(jiān)監(jiān)控控、、查查詢?cè)?、、統(tǒng)統(tǒng)計(jì)計(jì)等等脆弱弱性性管管理理::弱弱點(diǎn)點(diǎn)采采集集、、資資產(chǎn)產(chǎn)關(guān)關(guān)聯(lián)聯(lián)、、漏漏洞洞查查詢?cè)儭?、脆脆弱弱性性統(tǒng)統(tǒng)計(jì)計(jì)等等風(fēng)險(xiǎn)險(xiǎn)管管理理::風(fēng)風(fēng)險(xiǎn)險(xiǎn)識(shí)識(shí)別別、、風(fēng)風(fēng)險(xiǎn)險(xiǎn)計(jì)計(jì)算算、、風(fēng)風(fēng)險(xiǎn)險(xiǎn)展展示示、、風(fēng)風(fēng)險(xiǎn)險(xiǎn)監(jiān)監(jiān)控控、、風(fēng)風(fēng)險(xiǎn)險(xiǎn)預(yù)預(yù)警警、、風(fēng)風(fēng)險(xiǎn)險(xiǎn)統(tǒng)統(tǒng)計(jì)計(jì)等等安全全知知識(shí)識(shí)庫(kù)庫(kù)管管理理::知知識(shí)識(shí)庫(kù)庫(kù)管管理理、、安安全全論論壇壇、、輔輔助助決決策策運(yùn)維維管管理理::工工作作流流管管理理、、工工單單管管理理、、運(yùn)運(yùn)營(yíng)營(yíng)管管理理、、運(yùn)運(yùn)維維統(tǒng)統(tǒng)計(jì)計(jì)等等延伸伸功功能能設(shè)備備管管理理::性性能能管管理理、、配配置置管管理理、、策策略略管管理理等等網(wǎng)絡(luò)絡(luò)管管理理::拓拓?fù)鋼涔芄芾砝?、、流流量量管管理理、、故故障障管管理理等等?yīng)用用管管理理::應(yīng)應(yīng)用用監(jiān)監(jiān)控控、、應(yīng)應(yīng)用用統(tǒng)統(tǒng)計(jì)計(jì)、、合合規(guī)規(guī)審審計(jì)計(jì)等等終端端管管理理::網(wǎng)網(wǎng)絡(luò)絡(luò)準(zhǔn)準(zhǔn)入入、、行行為為管管理理等等ITIL運(yùn)維:建設(shè)呼呼叫服務(wù)臺(tái),,提供統(tǒng)一的的監(jiān)控運(yùn)維管管理職能?chē)?guó)內(nèi)安管平臺(tái)臺(tái)現(xiàn)狀近年SOC建設(shè)難言成功功報(bào)出的事件以以誤報(bào)居多,,發(fā)現(xiàn)的風(fēng)險(xiǎn)險(xiǎn)難以理解自動(dòng)圖表報(bào)表表反映的是被被誤報(bào)嚴(yán)重扭扭曲過(guò)的統(tǒng)計(jì)計(jì)結(jié)果全流程的運(yùn)維維管理流程難難以符合實(shí)際際需要雖然建立了SOC系統(tǒng),但并未未建立SOC中心很多業(yè)內(nèi)人士士也把SOC比喻成“垃圾圾電影”但沒(méi)人懷疑建建設(shè)SOC的必要性首要原因是產(chǎn)產(chǎn)品沒(méi)有正確確定位、建設(shè)設(shè)沒(méi)有循序漸漸進(jìn)未來(lái)SOC之路安全事件管理理是SOC的的重中之重網(wǎng)絡(luò)管理與安安全管理融合合是國(guó)內(nèi)用戶戶的切實(shí)需求求主動(dòng)防御是日日常安全管理理的核心面向業(yè)務(wù)是未未來(lái)SOC走走出陰影的唯唯一出路客戶化定制適適應(yīng)不同行業(yè)業(yè)的管理需求求平臺(tái)建設(shè)是基基礎(chǔ),運(yùn)營(yíng)才才是SOC的的本質(zhì)題綱SOC背景及基礎(chǔ)TSM安全運(yùn)營(yíng)中心心TSM系統(tǒng)特點(diǎn)平臺(tái)服務(wù)(問(wèn)題處理)(運(yùn)維服務(wù)/平臺(tái)工具)策略與平臺(tái)實(shí)實(shí)施(工程實(shí)施服務(wù)務(wù)/平臺(tái)工具)安全咨詢(風(fēng)險(xiǎn)管理/服務(wù)工具)(1)資產(chǎn)(2)評(píng)估(5)TA/基于策略的事事件管理(3)策略/基線(4)TP/策略執(zhí)行行(6)安全業(yè)務(wù)服服務(wù)流程管管理(SBSM)(7)安全工作作評(píng)估與考考評(píng)KPI持續(xù)改進(jìn)進(jìn)拓?fù)浔O(jiān)控控流量監(jiān)控控設(shè)備監(jiān)控控。。。風(fēng)險(xiǎn)管理理脆弱性管管理事件管理理響應(yīng)管理理關(guān)聯(lián)分析析輔助決策策安全報(bào)表表訪問(wèn)控制制策略入侵檢測(cè)測(cè)策略病毒過(guò)濾濾策略安全審計(jì)計(jì)策略VPN通道策略略資產(chǎn)管理理網(wǎng)絡(luò)準(zhǔn)入入非法外聯(lián)聯(lián)行為監(jiān)管管。。。網(wǎng)絡(luò)監(jiān)控控管理TopNoc安全信息息管理TopAnalyzer策略統(tǒng)一一管理TopPolicy內(nèi)網(wǎng)合規(guī)規(guī)性TopDeskTSM統(tǒng)一管理理、監(jiān)控控、調(diào)度度服務(wù)臺(tái)臺(tái)天融信TSM一體化安安全運(yùn)維維解決方方案天融信TSM安全運(yùn)營(yíng)營(yíng)中心TSM是安全信信息和事事件管理理平臺(tái),,設(shè)計(jì)用用于提高高機(jī)構(gòu)安安全運(yùn)維維部門(mén)、、安全管管理的效效力、效效率和可可視性。。自動(dòng)匯聚聚并關(guān)聯(lián)聯(lián)事件、日日志和安安全漏洞洞為多廠商商環(huán)境提提供廣泛泛的設(shè)備備支持,,包括安安全性、、網(wǎng)絡(luò)、、主機(jī)和和應(yīng)用以資產(chǎn)為為中心的的事故識(shí)識(shí)別自動(dòng)滿足行業(yè)業(yè)規(guī)范和和規(guī)章制制度的要求基于政策策方針和和規(guī)章制制度的行行為監(jiān)控控與報(bào)告告最大限度度地優(yōu)化化安全資資源利用用率從數(shù)據(jù)收收集和關(guān)關(guān)聯(lián)直到到行為和和報(bào)告,,實(shí)現(xiàn)安安全管理理的全程程自動(dòng)化化的過(guò)程。確定安全目標(biāo)和運(yùn)作模式按計(jì)劃進(jìn)進(jìn)行日常常安全保保障檢查和審審計(jì)安全全工作和和目標(biāo)實(shí)實(shí)現(xiàn)確保安全全工作持持續(xù)改進(jìn)進(jìn)安全目標(biāo)標(biāo)安全控制制要求安全審計(jì)計(jì)和檢查查績(jī)效考核核調(diào)整安全全目標(biāo)日常安全全維護(hù)事件告警警風(fēng)險(xiǎn)確定定事件處理理和解決決報(bào)告審計(jì)計(jì)安全監(jiān)控控自上而下下--目標(biāo)管理理監(jiān)控快速發(fā)現(xiàn)識(shí)別和發(fā)現(xiàn)問(wèn)題自下而上上--異常處理理問(wèn)題快速定位事件分析、告警事件快速處理解決安全風(fēng)險(xiǎn)知識(shí)有效積累提高風(fēng)險(xiǎn)處理能力安全管理理流程的的實(shí)現(xiàn)TSM-Analyzer平臺(tái)層次次結(jié)構(gòu)TSM的邏輯架架構(gòu)1、TopAnalyzer基于J2EE架構(gòu)開(kāi)發(fā)發(fā),具有有極強(qiáng)的的開(kāi)放性性、跨平平臺(tái)與可可移植性性;2、數(shù)據(jù)庫(kù)庫(kù)采用Oracle9i/10g企業(yè)版、、sqlserver2005、DB2等。3、支持Window、Linux、AIX等系系統(tǒng)統(tǒng)的的部部署署代理理層層服務(wù)務(wù)器器展示示層層面向向消消息息中中間間件件技技術(shù)術(shù)所有有的的事事件件在在采采集集后后對(duì)對(duì)于于所所有有模模塊塊都都是是透透明明的的,,即即可可以以實(shí)實(shí)現(xiàn)現(xiàn)事事件件分分析析的的同同時(shí)時(shí)入入庫(kù)庫(kù)。。把把原原來(lái)來(lái)審審計(jì)計(jì)系系統(tǒng)統(tǒng)的的事事后后審審計(jì)計(jì)轉(zhuǎn)轉(zhuǎn)變變?yōu)闉閷?shí)實(shí)時(shí)時(shí)的的分分析析。。綜合合監(jiān)監(jiān)控控監(jiān)視視儀儀表表盤(pán)盤(pán)能能做做什什么么??———全局局動(dòng)動(dòng)態(tài)態(tài)展展現(xiàn)現(xiàn)網(wǎng)網(wǎng)絡(luò)絡(luò)中中安安全全事事件件;;監(jiān)視視儀儀表表盤(pán)盤(pán)的的特特點(diǎn)點(diǎn)??———安全全運(yùn)運(yùn)維維的的窗窗口口;;資產(chǎn)產(chǎn)管管理理分析析和和評(píng)評(píng)估估資資產(chǎn)產(chǎn)的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)和和價(jià)價(jià)值值,,并并通通過(guò)過(guò)對(duì)對(duì)關(guān)關(guān)鍵鍵資資產(chǎn)產(chǎn)的的實(shí)實(shí)時(shí)時(shí)監(jiān)監(jiān)控控,,以以及及對(duì)對(duì)資資產(chǎn)產(chǎn)所所產(chǎn)產(chǎn)生生的的事事件件進(jìn)進(jìn)行行風(fēng)風(fēng)險(xiǎn)險(xiǎn)分分析析和和處處理理,從而而維維護(hù)護(hù)企企業(yè)業(yè)中中各各種種資資產(chǎn)產(chǎn)的的安安全全性性;;資產(chǎn)產(chǎn)分分類類包包括括:資產(chǎn)產(chǎn)類類型型資產(chǎn)產(chǎn)物物理理位位置置資產(chǎn)產(chǎn)用用戶戶管管理理資產(chǎn)產(chǎn)分分組組管管理理風(fēng)險(xiǎn)險(xiǎn)管管理理安全全事事件件處處理理流流程程EventDatabaseAgentVPNVirusHIDSNIDSFirewallDatabaseRouterSwitchServerKnowledgeDatabaseRawDataInformationKeyInformationActionExpertManager1Manager2AdvisorKnowledgeConsole呼叫中中心安全管管理員員歸一化化過(guò)濾歸并100萬(wàn)Events1萬(wàn)Events1百Events事件整整合流流程RawEventsDenialofServiceWormantivirusNormal/BenignNormalizationandfilteringCorrelateandanalyzeThreatEventssourcesEventcategory表示一個(gè)個(gè)事件過(guò)濾冗余處理理歸納分類類綁定環(huán)境境雜亂的事事件長(zhǎng)短一致致顏色分類類攻擊場(chǎng)景景匹配9/10/015:05:29PM,%PIX-6-106015:DenyTCP(noconnection)from8/2182to0/63228flagsSYNRSTPSHACKoninterfaceoutside2001-08-2016:12:56|doldrgn1|dragonserver|40|11711|41|1031|AP|6|Tcp,sp=11711,dp=1031,flags=AP|ProductNameETSIPSPDIPDPLocationDeptservicesOSPIX_FWBeijingFinanceHTTPWIN2000IDSShanghaiMarketSMTPSOLARISPIXFirewall–standardsyslogformatIDS––DataItemsseparatedbypipesEVENTSTableNormalizationBusinessRelevance9/10/015:05:29PM2001-08-2016:12:56821820632284011711411031安全事件件管理——事件標(biāo)準(zhǔn)準(zhǔn)化系統(tǒng)支持持二級(jí)過(guò)濾濾功能,大量的的噪音數(shù)數(shù)據(jù)可以以在Agent端直接丟丟棄,在在管理服服務(wù)器端端還可以以進(jìn)行進(jìn)進(jìn)一步的的過(guò)濾以以減少數(shù)數(shù)據(jù)庫(kù)的的壓力。。所有事件過(guò)濾濾功能都使用SQL92標(biāo)準(zhǔn)組合合任意過(guò)過(guò)濾條件件,可以以使用戶戶靈活的的控制事事件過(guò)濾濾條件。。安全事件件管理——事件過(guò)濾濾基于狀態(tài)態(tài)機(jī)的關(guān)關(guān)聯(lián)分析析S0S1S2E0入侵檢測(cè)測(cè)事件E1FW事件E2DB事件E3web事件E5超時(shí)E4FW2事件關(guān)聯(lián)分析析引擎實(shí)實(shí)現(xiàn)對(duì)來(lái)來(lái)自不同同應(yīng)用、、設(shè)備、、系統(tǒng)等等產(chǎn)生的的不同類類型的事事件的實(shí)實(shí)時(shí)關(guān)聯(lián)聯(lián)通過(guò)使用用狀態(tài)機(jī)機(jī)來(lái)抽象象和描述述攻擊的的過(guò)程與與場(chǎng)景,,狀態(tài)機(jī)機(jī)間的狀狀態(tài)轉(zhuǎn)換換的條件件由不同同安全事事件觸發(fā)發(fā)實(shí)時(shí)關(guān)聯(lián)來(lái)來(lái)自不同設(shè)設(shè)備的安全全事件,可可以大大的的降低IDS的誤報(bào)率,,發(fā)現(xiàn)引發(fā)發(fā)安全事件件的真正原原因和隱藏藏的威脅。。系統(tǒng)不可用用Firewall?HOST?DB?WebServer?TSM關(guān)聯(lián)分析主機(jī)應(yīng)用異異常導(dǎo)致服服務(wù)問(wèn)題S0:正常E0:應(yīng)用系統(tǒng)異異常事件((FromApplicationHost)E1:防火墻異常常事件E2:數(shù)據(jù)庫(kù)系統(tǒng)統(tǒng)異常事件件S1:系統(tǒng)部分異異常E3:WEB服務(wù)異常事事件S2:WEBSERVER出現(xiàn)異常E4:狀態(tài)超時(shí)由于XX(E0,E1,E2,E3)原因?qū)е轮碌姆?wù)異異常關(guān)聯(lián)分析可可加速問(wèn)題題定位、提提高系統(tǒng)可可用性基于規(guī)則的的關(guān)聯(lián)分析析:將可疑的安安全活動(dòng)場(chǎng)場(chǎng)景(暗示示某潛在安安全攻擊行行為的一系系列安全事事件序列))加以預(yù)先先定義。系系統(tǒng)能夠使使用定義好好的關(guān)聯(lián)性性規(guī)則表達(dá)達(dá)式,對(duì)收收集到的安安全事件進(jìn)進(jìn)行檢查,,確定該事事件是否和和特定的規(guī)規(guī)則匹配。。基于統(tǒng)計(jì)的的關(guān)聯(lián)分析析:定義一些大大的安全事事件類別,,對(duì)每個(gè)類類別的事件件設(shè)定一個(gè)個(gè)合理的閥閥值,將出出現(xiàn)的事件件先歸類,,然后進(jìn)行行緩存和計(jì)計(jì)數(shù),當(dāng)在在某一段時(shí)時(shí)間內(nèi),計(jì)計(jì)數(shù)達(dá)到該該閥值,可可以產(chǎn)生一一個(gè)級(jí)別更更高的安全全事件?;谫Y產(chǎn)的的關(guān)聯(lián)分析析:安全事件能能與相關(guān)資資產(chǎn)的敏感感性以及相相關(guān)資產(chǎn)上上的漏洞進(jìn)進(jìn)行關(guān)聯(lián),,從而判斷斷某個(gè)安全全事件是否否能造成不不良影響以以及造成不不良影響的的嚴(yán)重程度度?;趶V義漏漏洞的關(guān)聯(lián)聯(lián)分析:安全事件能能同網(wǎng)段的的相應(yīng)漏洞洞進(jìn)行關(guān)聯(lián)聯(lián),判斷可可能造成的的不良影響響。支持的關(guān)聯(lián)聯(lián)分析類型型【場(chǎng)景描述】(1)某個(gè)攻擊擊者對(duì)某臺(tái)臺(tái)主機(jī)進(jìn)行行端口掃描(事件來(lái)自于于安全設(shè)備備)(2)攻擊者發(fā)發(fā)現(xiàn)該主機(jī)機(jī)的3389端口(微軟軟遠(yuǎn)程桌面面服務(wù))已已打開(kāi),并并通過(guò)口令令字猜測(cè)獲獲得了該的的主機(jī)口令令(系統(tǒng)事件);(3)攻擊者登陸上該臺(tái)主機(jī)機(jī),將其重重要文件傳傳送出去((系統(tǒng)事件件)Page34端口掃描Port3389isOpen場(chǎng)景規(guī)則分類場(chǎng)景惡意代碼/病毒類后門(mén)攻擊、病毒攻擊、惡意郵件攻擊(附件可能是病毒或木馬)、自動(dòng)安裝惡意程序、存在可疑軟件可疑程序文件內(nèi)容被防火墻修改、無(wú)效命令、可疑數(shù)據(jù)包、可疑活動(dòng)、可疑的文件擴(kuò)展名、可以端口活動(dòng)、可疑路由、未知告警錯(cuò)誤配置地址變化、應(yīng)用配置、用戶設(shè)置、IP沖突、過(guò)載、硬件錯(cuò)誤、郵件設(shè)置、系統(tǒng)啟動(dòng)、系統(tǒng)設(shè)置、系統(tǒng)中斷、系統(tǒng)心跳、服務(wù)/進(jìn)程狀態(tài)變更、軟件安裝、系統(tǒng)失效、系統(tǒng)狀態(tài)嘗試探測(cè)嗅探、信息流分析、應(yīng)用查詢、主機(jī)查詢、網(wǎng)絡(luò)探察、郵件偵察、Windows偵察、Portmap/RPC請(qǐng)求、端口掃描、RPCDump、DNS偵察拒絕服務(wù)攻擊畸形DoS包、洪水攻擊、郵件服務(wù)攻擊、應(yīng)用層拒絕服務(wù)欺騙和劫持IP欺騙和偽裝、IP分段、IP片段重疊、信息重放、IDS躲避非授權(quán)訪問(wèn)認(rèn)證成功、認(rèn)證/授權(quán)失敗、FTP訪問(wèn)、文件訪問(wèn)、郵件訪問(wèn)、WEB攻擊、繞過(guò)安全機(jī)制、網(wǎng)絡(luò)訪問(wèn)中斷、權(quán)限提升、安全協(xié)商、安全策略變更、WEB—IIS非授權(quán)訪問(wèn)企圖、Telnet訪問(wèn)、Unix/Linux訪問(wèn)、Web服務(wù)的非授權(quán)訪問(wèn)企圖、Windows訪問(wèn)、SNMP訪問(wèn)應(yīng)用程序漏洞攻擊緩存溢出攻擊、DNS利用、FTP利用、Linux/Unix利用、郵件利用、網(wǎng)絡(luò)設(shè)備利用、其他主機(jī)利用、Telnet利用、TCP劫持、Web利用、Windows利用違反組織安全策略被禁止的HTTP訪問(wèn)、被禁止的Telnet/SSH訪問(wèn)、聊天和即時(shí)通訊、被禁止的流內(nèi)容、其他外部IP訪問(wèn)、被禁止的應(yīng)用訪問(wèn)、被禁止的FTP訪問(wèn)、過(guò)量的Internet訪問(wèn)、可疑的郵件內(nèi)容和附件、可疑的內(nèi)部網(wǎng)絡(luò)活動(dòng)、被禁止的軟件安裝密碼猜測(cè)攻擊POP3口令猜測(cè)、Windows口令猜測(cè)、UNIX口令猜測(cè)、應(yīng)用軟件口令猜測(cè)環(huán)境威脅供電中斷、通信中斷、設(shè)備故障、靜電、電磁干擾、溫度變化、數(shù)據(jù)存儲(chǔ)介質(zhì)損壞人為誤操作未經(jīng)授權(quán)進(jìn)行數(shù)據(jù)拷貝或盜取數(shù)據(jù)、無(wú)意中對(duì)數(shù)據(jù)操作、未經(jīng)授權(quán)將IT系統(tǒng)連接到其他網(wǎng)絡(luò)預(yù)置場(chǎng)景列列表(12大類120個(gè)場(chǎng)景560條規(guī)則)漏洞掃描工具

安全管理平臺(tái)網(wǎng)絡(luò)設(shè)備:應(yīng)用系統(tǒng):操作系統(tǒng):網(wǎng)絡(luò)TXT/XML等格式1.手動(dòng)交換方式2.自動(dòng)傳遞方式與漏洞掃描描系統(tǒng)的整整合支持的響應(yīng)應(yīng)方式主要要有:命令行告警警輔助決策聯(lián)聯(lián)動(dòng)命令陷阱導(dǎo)入交換機(jī)端口口啟用、禁禁用操作防火墻阻斷斷發(fā)送郵件鈴聲告警SNMPTrap方式告警TopDesk補(bǔ)丁升級(jí)TopDesk防火墻阻斷斷TopPolicy防火墻阻斷斷聲光報(bào)警聲音報(bào)警WinPop告警工單處理短消息事件響應(yīng)管管理用戶選擇需需要輔助決決策處理的的事件,系系統(tǒng)將會(huì)自自動(dòng)為其匹匹配決策,,并由用戶戶決定是否否執(zhí)行決策策中的響應(yīng)應(yīng)腳本?;趯<姨幪幚淼妮o助助決策文件解析引擎提供數(shù)據(jù)格格式的解析析安全設(shè)備::防火墻、、入侵檢測(cè)測(cè)系統(tǒng)、VPN、防病毒軟軟件、漏洞洞掃描器、、安全審計(jì)計(jì)系統(tǒng)等網(wǎng)絡(luò)設(shè)備::交換機(jī)、、路由器等等操作系統(tǒng)::WindowsNT/2000/XP/2003操作系統(tǒng)、、主流Linux系統(tǒng)、主流Unix系統(tǒng)等應(yīng)用系統(tǒng)::Web(apache、iis)、Ftp(iis)、Mail(exchange)、DBMS(Oracle、SQLServer、DB2、Informix、Sybase)等其他任何支支持標(biāo)準(zhǔn)SYSLOG、WELF、SNMP(v2、v3)等日志格格式的設(shè)備備和系統(tǒng)通過(guò)flexer標(biāo)記語(yǔ)言可快速提供供對(duì)未知設(shè)備備日志格式式的支持,不需要修修改程序代代碼總結(jié):目前前TSM可以收集業(yè)業(yè)內(nèi)110種日志格式式,對(duì)于不不能夠支持持的設(shè)備,,可以在5個(gè)工作日內(nèi)內(nèi)定制開(kāi)發(fā)發(fā)完成。數(shù)據(jù)文件解解析引擎訪問(wèn)和身份份管理IBMTivoliAccessManager

IBMTivoliIdentityManagerMicrosoftActiveDirectoryCAeTrustAccessCAeTrustSecureProxyServerCAeTrustSiteminder(Netegrity)RSASecureIDRADIUSOracleIdentityManagement(Oblix)SunJavaSystemDirectoryServerCiscoACS路由器/交換機(jī)思科路由器器交換設(shè)備備華為路由器器交換設(shè)備備中興路由器器交換設(shè)備備CiscoCatalyst交換機(jī)Foundry交換機(jī)JuniperJunOSNortel以太網(wǎng)路由由交換機(jī)8300,8600,400系列操作系統(tǒng)日日志、日志志記錄平臺(tái)臺(tái)Solaris(Sun)*AIX(IBM)OS/400(ISeries)RedHatLinuxSuSELinuxHP/UXMicrosoftWindowsEventLog(W2K3DHCP,W2KDHCP,IIS)MicrosoftSNMPTrapSenderNokiaIPSONovellNetWareOpenBSDTandemNon-StopOS(HP)Tru64TripplightUPSMonitorwareSYSLOGKiwiSyslogzOS-MainframeIDS防病病毒毒CipherTrustIronMailMcAfeeVirusScanNortonAntiVirus(Symantec)McAfeeePOTrendMicroInterScan網(wǎng)絡(luò)入侵侵檢測(cè)/防護(hù)天融信\啟明星辰辰金諾網(wǎng)安安McAfeeIntrushieldSourcefireNetworkSensorSourcefireRNAJuniperIDPISSRealSecureNetworkSensorISSProventiaGISSProventiaMISSBlackICESentryCiscoSecureIDSSNORTIDS應(yīng)用ApacheMicrosoftIISIBMWebSphere

OracleDatabaseServerLotusDominoSAPR3應(yīng)用安全全性BlueCoatProxyNortelITM(智能流量量管理)TerosAPSSentrywareHiveIBMDataPower(即將面市市)防火墻天融信聯(lián)想網(wǎng)御御網(wǎng)御神州州CheckPointFirewall-1CiscoPIXFortinetFortiGateJuniper(Netscreen)LinuxIPTablesMicrosoftISAServerNortelSwitchedFirewallStonesoft'sStoneGateSecureComputing'sSidewinderSymantec'sEnterpriseFirewall安全漏漏洞評(píng)評(píng)估綠盟啟明星星辰榕基NessusISSInternetScannerFoundstone支持超超過(guò)110多個(gè)事事件的的日志志格式式系統(tǒng)能能夠通通過(guò)直直觀、、友好好的網(wǎng)網(wǎng)絡(luò)管管理界界面,,可以以實(shí)現(xiàn)現(xiàn)對(duì)網(wǎng)網(wǎng)絡(luò)中中的設(shè)設(shè)備、、主機(jī)機(jī)、應(yīng)應(yīng)用系系統(tǒng)等等方面面的綜綜合管管理與與監(jiān)控控。主要包包括網(wǎng)網(wǎng)絡(luò)設(shè)設(shè)備自自動(dòng)發(fā)發(fā)現(xiàn)、、拓?fù)鋼涔芾砝?、視視圖管管理、、性能能管理理、資資產(chǎn)管管理等等功能能。網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理可可以對(duì)掃描描到的所有有網(wǎng)絡(luò)設(shè)備備進(jìn)行管理理,包括IP地址、、端口、鏈鏈路、VLAN、、數(shù)據(jù)統(tǒng)計(jì)計(jì)等。網(wǎng)

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論