SOC安全運(yùn)營(yíng)中心產(chǎn)品介紹

首頁天融信SOC安全運(yùn)營(yíng)中心介紹高級(jí)安全顧問：陶越題綱SOC背景及基礎(chǔ)TSM安全運(yùn)營(yíng)中心TSM系統(tǒng)特點(diǎn)SOC相關(guān)名詞術(shù)語SOC（SecurityOperatingsCenter）安全運(yùn)營(yíng)中心/安全管理平臺(tái)SIM（SecurityInformationManagement）安全信息管理SEM（SecurityEventsManagement）安全事件管理SIEM（SecurityInformationandEventsManagement）安全信息與事件管理LM（LogManagement）日志管理SMC（SecurityManagementCenter）安全管理中心MSS（ManagedSecurityService）可管理的安全服務(wù)/安全托管服務(wù)MSSP（ManagedSecurityServiceProvider）安全托管服務(wù)提供商MNS（ManagedNetworkService）可管理的網(wǎng)絡(luò)服務(wù)/網(wǎng)絡(luò)托管服務(wù)NOC（NetworkOperatingsCenter）網(wǎng)絡(luò)運(yùn)營(yíng)中心SOC命名來源于NOC，概念來源于MSS國(guó)際一般指SOC是一個(gè)中心，有固定的場(chǎng)所，有一個(gè)技術(shù)支撐平臺(tái)、有大屏幕系統(tǒng)、有組織人員、有一套運(yùn)營(yíng)的流程，為第三方提供安全管理服務(wù)。國(guó)際通行的SOC理念是服務(wù)和產(chǎn)品圍繞MSS運(yùn)營(yíng)展開的，是支撐MSS的技術(shù)基礎(chǔ)，鮮見以SOC命名的產(chǎn)品國(guó)內(nèi)一般指SOC是一個(gè)技術(shù)平臺(tái)，是一個(gè)傳統(tǒng)概念上的成熟安全產(chǎn)品，而不考慮運(yùn)維，將產(chǎn)品與運(yùn)營(yíng)之間的關(guān)系裁剪掉了MSSandMSSP為了節(jié)省客戶的相關(guān)安全投入，即客戶將安全外包給MSSP，以小于原投入的資金獲得更加專業(yè)的業(yè)務(wù)安全。概念來源于MNS，是相對(duì)網(wǎng)絡(luò)托管服務(wù)提出的安全管理服務(wù)全球12大MSSP：AT&TBTIBMIntegralis（專注于歐洲市場(chǎng)）MegaPathPerimeterSavvisSecureWorksSolutionarySymantecVerizonVeriSign（MSS業(yè)務(wù)快要賣光了）Gartner（高德納）公司將MSS定義為以下幾類：

防火墻或IPS的監(jiān)視與托管IDS的監(jiān)視與托管

DDOS防護(hù)郵件反病毒/反垃圾托管服務(wù)防病毒網(wǎng)管托管服務(wù)

安全信息管理安全事件管理網(wǎng)絡(luò)、服務(wù)器或應(yīng)用的弱點(diǎn)掃描托管

安全弱點(diǎn)或威脅通知服務(wù)日志分析托管監(jiān)視/托管設(shè)備報(bào)告與故障響應(yīng)報(bào)告MSS服務(wù)方式SOC、MSS、MSSP及User間關(guān)系MSSPMSSSOCUserISP應(yīng)用商安全廠商專業(yè)服務(wù)商咨詢商入侵監(jiān)測(cè)遠(yuǎn)程監(jiān)控漏洞評(píng)估事件管理合規(guī)檢測(cè)運(yùn)維報(bào)告漏掃系統(tǒng)大屏監(jiān)控事件工具日志工具病毒系統(tǒng)運(yùn)維人員FirewallIDSIPSAuditAV支撐解決方案建設(shè)提供服務(wù)產(chǎn)品利用管理系統(tǒng)及服務(wù)SOC產(chǎn)生的背景伴隨MSS的發(fā)展而產(chǎn)生的由ISS（IBM收購(gòu)）在1998年提出MSS概念1999~2001年ISS先后在全球建立了多個(gè)SOC中心1998年CheckPoint推出了CheckPointProvide-1防火墻/VPN集中管理平臺(tái)，提供給MSSP實(shí)現(xiàn)多臺(tái)防火墻的管理2000年Counterpane（BT收購(gòu)）推出MSS服務(wù)，在全美范圍內(nèi)構(gòu)建安全監(jiān)控中心，以此實(shí)現(xiàn)MSS服務(wù)2001年WatchGuard推出防火墻/VPN狀態(tài)監(jiān)測(cè)和日志分析報(bào)表系統(tǒng)2001年Symantec改造了圣安東尼奧的SOC中心，超過140名安全專家提供24*7*365的安全管理服務(wù),并且陸續(xù)在全球建有5個(gè)SOC中心2000年ArcSight開發(fā)了SIEMS系統(tǒng)，2004年發(fā)布了ESM3.0，Gartner從2005年至2007年的SIEMMagicQuadrant評(píng)測(cè)分析中，ArcSightESM也是連續(xù)3年保持在領(lǐng)導(dǎo)者位置SOC定位于MSS服務(wù)的提供，或開展MSS服務(wù)的ISP也是其目標(biāo)客戶面向普通客戶的主要是SIEM系統(tǒng)SOC產(chǎn)生背景（續(xù)）2001年安氏利用ISS的知識(shí)將MSS的概念引入中國(guó)，并與世紀(jì)互聯(lián)簽訂了中國(guó)第一份MSS合作協(xié)議與此同時(shí)SOC的概念登陸中國(guó)，國(guó)情不同SOC概念逐漸逐漸被源SOC概念中的工具替代2004年安氏推出了安全運(yùn)營(yíng)中心解決方案同年啟明推出了泰合安全運(yùn)營(yíng)中心系統(tǒng)同年天融信推出企業(yè)安全平臺(tái)（EnterpriseSecurityPlatform）2.0系統(tǒng)，2006年推出TSM3.0近幾年以SOC命名技術(shù)平臺(tái)的用法逐漸被安全管理平臺(tái)命名方式替代全球SIEMS主流廠商領(lǐng)導(dǎo)研究者參與者挑戰(zhàn)者SIEMS功能定義：標(biāo)準(zhǔn)化整合化關(guān)聯(lián)化分析化SOC市場(chǎng)劃劃分（（國(guó)際際）ITSIEMMSSSOC服務(wù)工工具用戶IT系統(tǒng)提供安安全托托管服服務(wù)建立安安全運(yùn)運(yùn)營(yíng)中中心MSSPMSSP為提供供MSS，需要要構(gòu)建建服務(wù)務(wù)型的的SOCSOC市場(chǎng)劃劃分（（中國(guó)國(guó)特色色）IT安全管管理平平臺(tái)SIMorSEMandSMCSOC幫助助用用戶戶部部署署服服務(wù)務(wù)工工具具（集集成成平平臺(tái)臺(tái)運(yùn)運(yùn)維維服服務(wù)務(wù)））用戶戶IT系統(tǒng)統(tǒng)提供供產(chǎn)產(chǎn)品品解解決決方方案案有些些政政府府、、企企業(yè)業(yè)或或組組織織因因?yàn)闉閿?shù)數(shù)據(jù)據(jù)的的私私有有與與機(jī)機(jī)密密性性等等問問題題，，需需要要自自行行進(jìn)進(jìn)行行集集中中的的安安全全管管理理，，需需要要構(gòu)構(gòu)建建自自用用型型的的SOC安全全廠廠商商未來來幾幾年年MSS可能能會(huì)會(huì)成成為為國(guó)國(guó)內(nèi)內(nèi)安安全全市市場(chǎng)場(chǎng)的的熱熱點(diǎn)點(diǎn)。。SOC技術(shù)術(shù)SOC是MSS實(shí)現(xiàn)現(xiàn)的的基基礎(chǔ)礎(chǔ)，，它它的的構(gòu)構(gòu)建建包包括括：：人人員員（（安安全全專專家家））、、工工具具、、流流程程、、地地點(diǎn)點(diǎn)及及物物理理設(shè)設(shè)施施（（網(wǎng)網(wǎng)絡(luò)絡(luò)、、監(jiān)監(jiān)視視屏屏））等等。。它它提提供供安安全全的的集集中中運(yùn)運(yùn)營(yíng)營(yíng)，，包包括括安安全全研研究究、、安安全全評(píng)評(píng)估估、、安安全全策策略略制制定定、、安安全全集集中中監(jiān)監(jiān)視視、、安安全全響響應(yīng)應(yīng)、、安安全全設(shè)設(shè)備備配配置置等等。。國(guó)際際SOC中采采用用的的技技術(shù)術(shù)是是由由其其MSS業(yè)務(wù)務(wù)決決定定的的，，沒沒有有完完整整的的SOC產(chǎn)品品，，根根據(jù)據(jù)業(yè)業(yè)務(wù)務(wù)細(xì)細(xì)分分產(chǎn)產(chǎn)品品國(guó)內(nèi)內(nèi)目目前前SOC采用用的的技技術(shù)術(shù)業(yè)業(yè)界界公公認(rèn)認(rèn)為為““安安全全管管理理平平臺(tái)臺(tái)””。。它它由由國(guó)國(guó)內(nèi)內(nèi)安安全全市市場(chǎng)場(chǎng)的的現(xiàn)現(xiàn)狀狀決決定定，，是是一一個(gè)個(gè)龐龐大大的的系系統(tǒng)統(tǒng)。。它的的功功能能覆覆蓋蓋了了很很多多細(xì)細(xì)分分產(chǎn)產(chǎn)品品的的功功能能如如：：SIEM、設(shè)設(shè)備備管管理理、、漏漏洞洞管管理理、、合合規(guī)規(guī)性性及及風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理等等。。并并且且有有趨趨勢(shì)勢(shì)，，變變得得更更加加龐龐大大，，會(huì)會(huì)整整合合進(jìn)進(jìn)更更多多的的安安全全功功能能進(jìn)進(jìn)行行集集中中的的安安全全管管理理。。國(guó)內(nèi)內(nèi)安安全全管管理理平平臺(tái)臺(tái)功功能能定定義義定位位以資資產(chǎn)產(chǎn)為為核核心心、、以以事事件件管管理理為為關(guān)關(guān)鍵鍵流流程程、、以以風(fēng)風(fēng)險(xiǎn)險(xiǎn)控控制制為為目目標(biāo)標(biāo)的的面面向向安安全全的的綜綜合合一一體體化化管管理理平平臺(tái)臺(tái)系系統(tǒng)統(tǒng)基本本功功能能資產(chǎn)產(chǎn)管管理理：：資資產(chǎn)產(chǎn)錄錄入入、、查查詢?cè)?、、修修改改、、屬屬性性管管理理、、統(tǒng)統(tǒng)計(jì)計(jì)等等事件件管管理理：：事事件件采采集集、、過過濾濾、、歸歸并并、、關(guān)關(guān)聯(lián)聯(lián)分分析析、、事事件件監(jiān)監(jiān)控控、、查查詢?cè)?、、統(tǒng)統(tǒng)計(jì)計(jì)等等脆弱弱性性管管理理：：弱弱點(diǎn)點(diǎn)采采集集、、資資產(chǎn)產(chǎn)關(guān)關(guān)聯(lián)聯(lián)、、漏漏洞洞查查詢?cè)?、、脆脆弱弱性性統(tǒng)統(tǒng)計(jì)計(jì)等等風(fēng)險(xiǎn)險(xiǎn)管管理理：：風(fēng)風(fēng)險(xiǎn)險(xiǎn)識(shí)識(shí)別別、、風(fēng)風(fēng)險(xiǎn)險(xiǎn)計(jì)計(jì)算算、、風(fēng)風(fēng)險(xiǎn)險(xiǎn)展展示示、、風(fēng)風(fēng)險(xiǎn)險(xiǎn)監(jiān)監(jiān)控控、、風(fēng)風(fēng)險(xiǎn)險(xiǎn)預(yù)預(yù)警警、、風(fēng)風(fēng)險(xiǎn)險(xiǎn)統(tǒng)統(tǒng)計(jì)計(jì)等等安全全知知識(shí)識(shí)庫庫管管理理：：知知識(shí)識(shí)庫庫管管理理、、安安全全論論壇壇、、輔輔助助決決策策運(yùn)維維管管理理：：工工作作流流管管理理、、工工單單管管理理、、運(yùn)運(yùn)營(yíng)營(yíng)管管理理、、運(yùn)運(yùn)維維統(tǒng)統(tǒng)計(jì)計(jì)等等延伸伸功功能能設(shè)備備管管理理：：性性能能管管理理、、配配置置管管理理、、策策略略管管理理等等網(wǎng)絡(luò)絡(luò)管管理理：：拓拓?fù)鋼涔芄芾砝?、、流流量量管管理理、、故故障障管管理理等等?yīng)用用管管理理：：應(yīng)應(yīng)用用監(jiān)監(jiān)控控、、應(yīng)應(yīng)用用統(tǒng)統(tǒng)計(jì)計(jì)、、合合規(guī)規(guī)審審計(jì)計(jì)等等終端端管管理理：：網(wǎng)網(wǎng)絡(luò)絡(luò)準(zhǔn)準(zhǔn)入入、、行行為為管管理理等等ITIL運(yùn)維：建設(shè)呼呼叫服務(wù)臺(tái)，，提供統(tǒng)一的的監(jiān)控運(yùn)維管管理職能國(guó)內(nèi)安管平臺(tái)臺(tái)現(xiàn)狀近年SOC建設(shè)難言成功功報(bào)出的事件以以誤報(bào)居多，，發(fā)現(xiàn)的風(fēng)險(xiǎn)險(xiǎn)難以理解自動(dòng)圖表報(bào)表表反映的是被被誤報(bào)嚴(yán)重扭扭曲過的統(tǒng)計(jì)計(jì)結(jié)果全流程的運(yùn)維維管理流程難難以符合實(shí)際際需要雖然建立了SOC系統(tǒng)，但并未未建立SOC中心很多業(yè)內(nèi)人士士也把SOC比喻成“垃圾圾電影”但沒人懷疑建建設(shè)SOC的必要性首要原因是產(chǎn)產(chǎn)品沒有正確確定位、建設(shè)設(shè)沒有循序漸漸進(jìn)未來SOC之路安全事件管理理是SOC的的重中之重網(wǎng)絡(luò)管理與安安全管理融合合是國(guó)內(nèi)用戶戶的切實(shí)需求求主動(dòng)防御是日日常安全管理理的核心面向業(yè)務(wù)是未未來SOC走走出陰影的唯唯一出路客戶化定制適適應(yīng)不同行業(yè)業(yè)的管理需求求平臺(tái)建設(shè)是基基礎(chǔ)，運(yùn)營(yíng)才才是SOC的的本質(zhì)題綱SOC背景及基礎(chǔ)TSM安全運(yùn)營(yíng)中心心TSM系統(tǒng)特點(diǎn)平臺(tái)服務(wù)(問題處理)(運(yùn)維服務(wù)/平臺(tái)工具)策略與平臺(tái)實(shí)實(shí)施(工程實(shí)施服務(wù)務(wù)/平臺(tái)工具)安全咨詢(風(fēng)險(xiǎn)管理/服務(wù)工具)(1)資產(chǎn)(2)評(píng)估(5)TA/基于策略的事事件管理(3)策略/基線(4)TP/策略執(zhí)行行(6)安全業(yè)務(wù)服服務(wù)流程管管理(SBSM)(7)安全工作作評(píng)估與考考評(píng)KPI持續(xù)改進(jìn)進(jìn)拓?fù)浔O(jiān)控控流量監(jiān)控控設(shè)備監(jiān)控控。。。風(fēng)險(xiǎn)管理理脆弱性管管理事件管理理響應(yīng)管理理關(guān)聯(lián)分析析輔助決策策安全報(bào)表表訪問控制制策略入侵檢測(cè)測(cè)策略病毒過濾濾策略安全審計(jì)計(jì)策略VPN通道策略略資產(chǎn)管理理網(wǎng)絡(luò)準(zhǔn)入入非法外聯(lián)聯(lián)行為監(jiān)管管。。。網(wǎng)絡(luò)監(jiān)控控管理TopNoc安全信息息管理TopAnalyzer策略統(tǒng)一一管理TopPolicy內(nèi)網(wǎng)合規(guī)規(guī)性TopDeskTSM統(tǒng)一管理理、監(jiān)控控、調(diào)度度服務(wù)臺(tái)臺(tái)天融信TSM一體化安安全運(yùn)維維解決方方案天融信TSM安全運(yùn)營(yíng)營(yíng)中心TSM是安全信信息和事事件管理理平臺(tái)，，設(shè)計(jì)用用于提高高機(jī)構(gòu)安安全運(yùn)維維部門、、安全管管理的效效力、效效率和可可視性。。自動(dòng)匯聚聚并關(guān)聯(lián)聯(lián)事件、日日志和安安全漏洞洞為多廠商商環(huán)境提提供廣泛泛的設(shè)備備支持，，包括安安全性、、網(wǎng)絡(luò)、、主機(jī)和和應(yīng)用以資產(chǎn)為為中心的的事故識(shí)識(shí)別自動(dòng)滿足行業(yè)業(yè)規(guī)范和和規(guī)章制制度的要求基于政策策方針和和規(guī)章制制度的行行為監(jiān)控控與報(bào)告告最大限度度地優(yōu)化化安全資資源利用用率從數(shù)據(jù)收收集和關(guān)關(guān)聯(lián)直到到行為和和報(bào)告，，實(shí)現(xiàn)安安全管理理的全程程自動(dòng)化化的過程。確定安全目標(biāo)和運(yùn)作模式按計(jì)劃進(jìn)進(jìn)行日常常安全保保障檢查和審審計(jì)安全全工作和和目標(biāo)實(shí)實(shí)現(xiàn)確保安全全工作持持續(xù)改進(jìn)進(jìn)安全目標(biāo)標(biāo)安全控制制要求安全審計(jì)計(jì)和檢查查績(jī)效考核核調(diào)整安全全目標(biāo)日常安全全維護(hù)事件告警警風(fēng)險(xiǎn)確定定事件處理理和解決決報(bào)告審計(jì)計(jì)安全監(jiān)控控自上而下下--目標(biāo)管理理監(jiān)控快速發(fā)現(xiàn)識(shí)別和發(fā)現(xiàn)問題自下而上上--異常處理理問題快速定位事件分析、告警事件快速處理解決安全風(fēng)險(xiǎn)知識(shí)有效積累提高風(fēng)險(xiǎn)處理能力安全管理理流程的的實(shí)現(xiàn)TSM-Analyzer平臺(tái)層次次結(jié)構(gòu)TSM的邏輯架架構(gòu)1、TopAnalyzer基于J2EE架構(gòu)開發(fā)發(fā)，具有有極強(qiáng)的的開放性性、跨平平臺(tái)與可可移植性性；2、數(shù)據(jù)庫庫采用Oracle9i/10g企業(yè)版、、sqlserver2005、DB2等。3、支持Window、Linux、AIX等系系統(tǒng)統(tǒng)的的部部署署代理理層層服務(wù)務(wù)器器展示示層層面向向消消息息中中間間件件技技術(shù)術(shù)所有有的的事事件件在在采采集集后后對(duì)對(duì)于于所所有有模模塊塊都都是是透透明明的的，，即即可可以以實(shí)實(shí)現(xiàn)現(xiàn)事事件件分分析析的的同同時(shí)時(shí)入入庫庫。。把把原原來來審審計(jì)計(jì)系系統(tǒng)統(tǒng)的的事事后后審審計(jì)計(jì)轉(zhuǎn)轉(zhuǎn)變變?yōu)闉閷?shí)實(shí)時(shí)時(shí)的的分分析析。。綜合合監(jiān)監(jiān)控控監(jiān)視視儀儀表表盤盤能能做做什什么么？？———全局局動(dòng)動(dòng)態(tài)態(tài)展展現(xiàn)現(xiàn)網(wǎng)網(wǎng)絡(luò)絡(luò)中中安安全全事事件件；；監(jiān)視視儀儀表表盤盤的的特特點(diǎn)點(diǎn)？？———安全全運(yùn)運(yùn)維維的的窗窗口口；；資產(chǎn)產(chǎn)管管理理分析析和和評(píng)評(píng)估估資資產(chǎn)產(chǎn)的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)和和價(jià)價(jià)值值，，并并通通過過對(duì)對(duì)關(guān)關(guān)鍵鍵資資產(chǎn)產(chǎn)的的實(shí)實(shí)時(shí)時(shí)監(jiān)監(jiān)控控，，以以及及對(duì)對(duì)資資產(chǎn)產(chǎn)所所產(chǎn)產(chǎn)生生的的事事件件進(jìn)進(jìn)行行風(fēng)風(fēng)險(xiǎn)險(xiǎn)分分析析和和處處理理,從而而維維護(hù)護(hù)企企業(yè)業(yè)中中各各種種資資產(chǎn)產(chǎn)的的安安全全性性；；資產(chǎn)產(chǎn)分分類類包包括括:資產(chǎn)產(chǎn)類類型型資產(chǎn)產(chǎn)物物理理位位置置資產(chǎn)產(chǎn)用用戶戶管管理理資產(chǎn)產(chǎn)分分組組管管理理風(fēng)險(xiǎn)險(xiǎn)管管理理安全全事事件件處處理理流流程程EventDatabaseAgentVPNVirusHIDSNIDSFirewallDatabaseRouterSwitchServerKnowledgeDatabaseRawDataInformationKeyInformationActionExpertManager1Manager2AdvisorKnowledgeConsole呼叫中中心安全管管理員員歸一化化過濾歸并100萬Events1萬Events1百Events事件整整合流流程RawEventsDenialofServiceWormantivirusNormal/BenignNormalizationandfilteringCorrelateandanalyzeThreatEventssourcesEventcategory表示一個(gè)個(gè)事件過濾冗余處理理歸納分類類綁定環(huán)境境雜亂的事事件長(zhǎng)短一致致顏色分類類攻擊場(chǎng)景景匹配9/10/015：05：29PM，%PIX-6-106015：DenyTCP（noconnection）from8/2182to0/63228flagsSYNRSTPSHACKoninterfaceoutside2001-08-2016:12:56|doldrgn1|dragonserver|40|11711|41|1031|AP|6|Tcp,sp=11711,dp=1031,flags=AP|ProductNameETSIPSPDIPDPLocationDeptservicesOSPIX_FWBeijingFinanceHTTPWIN2000IDSShanghaiMarketSMTPSOLARISPIXFirewall–standardsyslogformatIDS––DataItemsseparatedbypipesEVENTSTableNormalizationBusinessRelevance9/10/015：05：29PM2001-08-2016:12:56821820632284011711411031安全事件件管理——事件標(biāo)準(zhǔn)準(zhǔn)化系統(tǒng)支持持二級(jí)過濾濾功能，大量的的噪音數(shù)數(shù)據(jù)可以以在Agent端直接丟丟棄，在在管理服服務(wù)器端端還可以以進(jìn)行進(jìn)進(jìn)一步的的過濾以以減少數(shù)數(shù)據(jù)庫的的壓力。。所有事件過濾濾功能都使用SQL92標(biāo)準(zhǔn)組合合任意過過濾條件件，可以以使用戶戶靈活的的控制事事件過濾濾條件。。安全事件件管理——事件過濾濾基于狀態(tài)態(tài)機(jī)的關(guān)關(guān)聯(lián)分析析S0S1S2E0入侵檢測(cè)測(cè)事件E1FW事件E2DB事件E3web事件E5超時(shí)E4FW2事件關(guān)聯(lián)分析析引擎實(shí)實(shí)現(xiàn)對(duì)來來自不同同應(yīng)用、、設(shè)備、、系統(tǒng)等等產(chǎn)生的的不同類類型的事事件的實(shí)實(shí)時(shí)關(guān)聯(lián)聯(lián)通過使用用狀態(tài)機(jī)機(jī)來抽象象和描述述攻擊的的過程與與場(chǎng)景，，狀態(tài)機(jī)機(jī)間的狀狀態(tài)轉(zhuǎn)換換的條件件由不同同安全事事件觸發(fā)發(fā)實(shí)時(shí)關(guān)聯(lián)來來自不同設(shè)設(shè)備的安全全事件，可可以大大的的降低IDS的誤報(bào)率，，發(fā)現(xiàn)引發(fā)發(fā)安全事件件的真正原原因和隱藏藏的威脅。。系統(tǒng)不可用用Firewall?HOST?DB?WebServer?TSM關(guān)聯(lián)分析主機(jī)應(yīng)用異異常導(dǎo)致服服務(wù)問題S0:正常E0:應(yīng)用系統(tǒng)異異常事件（（FromApplicationHost）E1:防火墻異常常事件E2:數(shù)據(jù)庫系統(tǒng)統(tǒng)異常事件件S1:系統(tǒng)部分異異常E3:WEB服務(wù)異常事事件S2:WEBSERVER出現(xiàn)異常E4:狀態(tài)超時(shí)由于XX（E0,E1,E2,E3）原因?qū)е轮碌姆?wù)異異常關(guān)聯(lián)分析可可加速問題題定位、提提高系統(tǒng)可可用性基于規(guī)則的的關(guān)聯(lián)分析析：將可疑的安安全活動(dòng)場(chǎng)場(chǎng)景（暗示示某潛在安安全攻擊行行為的一系系列安全事事件序列））加以預(yù)先先定義。系系統(tǒng)能夠使使用定義好好的關(guān)聯(lián)性性規(guī)則表達(dá)達(dá)式，對(duì)收收集到的安安全事件進(jìn)進(jìn)行檢查，，確定該事事件是否和和特定的規(guī)規(guī)則匹配。?；诮y(tǒng)計(jì)的的關(guān)聯(lián)分析析：定義一些大大的安全事事件類別，，對(duì)每個(gè)類類別的事件件設(shè)定一個(gè)個(gè)合理的閥閥值，將出出現(xiàn)的事件件先歸類，，然后進(jìn)行行緩存和計(jì)計(jì)數(shù)，當(dāng)在在某一段時(shí)時(shí)間內(nèi)，計(jì)計(jì)數(shù)達(dá)到該該閥值，可可以產(chǎn)生一一個(gè)級(jí)別更更高的安全全事件?；谫Y產(chǎn)的的關(guān)聯(lián)分析析：安全事件能能與相關(guān)資資產(chǎn)的敏感感性以及相相關(guān)資產(chǎn)上上的漏洞進(jìn)進(jìn)行關(guān)聯(lián)，，從而判斷斷某個(gè)安全全事件是否否能造成不不良影響以以及造成不不良影響的的嚴(yán)重程度度?；趶V義漏漏洞的關(guān)聯(lián)聯(lián)分析：安全事件能能同網(wǎng)段的的相應(yīng)漏洞洞進(jìn)行關(guān)聯(lián)聯(lián)，判斷可可能造成的的不良影響響。支持的關(guān)聯(lián)聯(lián)分析類型型【場(chǎng)景描述】（1）某個(gè)攻擊擊者對(duì)某臺(tái)臺(tái)主機(jī)進(jìn)行行端口掃描(事件來自于于安全設(shè)備備)（2）攻擊者發(fā)發(fā)現(xiàn)該主機(jī)機(jī)的3389端口（微軟軟遠(yuǎn)程桌面面服務(wù)）已已打開，并并通過口令令字猜測(cè)獲獲得了該的的主機(jī)口令令（系統(tǒng)事件）；（3）攻擊者登陸上該臺(tái)主機(jī)機(jī)，將其重重要文件傳傳送出去（（系統(tǒng)事件件）Page34端口掃描Port3389isOpen場(chǎng)景規(guī)則分類場(chǎng)景惡意代碼/病毒類后門攻擊、病毒攻擊、惡意郵件攻擊（附件可能是病毒或木馬）、自動(dòng)安裝惡意程序、存在可疑軟件可疑程序文件內(nèi)容被防火墻修改、無效命令、可疑數(shù)據(jù)包、可疑活動(dòng)、可疑的文件擴(kuò)展名、可以端口活動(dòng)、可疑路由、未知告警錯(cuò)誤配置地址變化、應(yīng)用配置、用戶設(shè)置、IP沖突、過載、硬件錯(cuò)誤、郵件設(shè)置、系統(tǒng)啟動(dòng)、系統(tǒng)設(shè)置、系統(tǒng)中斷、系統(tǒng)心跳、服務(wù)/進(jìn)程狀態(tài)變更、軟件安裝、系統(tǒng)失效、系統(tǒng)狀態(tài)嘗試探測(cè)嗅探、信息流分析、應(yīng)用查詢、主機(jī)查詢、網(wǎng)絡(luò)探察、郵件偵察、Windows偵察、Portmap/RPC請(qǐng)求、端口掃描、RPCDump、DNS偵察拒絕服務(wù)攻擊畸形DoS包、洪水攻擊、郵件服務(wù)攻擊、應(yīng)用層拒絕服務(wù)欺騙和劫持IP欺騙和偽裝、IP分段、IP片段重疊、信息重放、IDS躲避非授權(quán)訪問認(rèn)證成功、認(rèn)證/授權(quán)失敗、FTP訪問、文件訪問、郵件訪問、WEB攻擊、繞過安全機(jī)制、網(wǎng)絡(luò)訪問中斷、權(quán)限提升、安全協(xié)商、安全策略變更、WEB—IIS非授權(quán)訪問企圖、Telnet訪問、Unix/Linux訪問、Web服務(wù)的非授權(quán)訪問企圖、Windows訪問、SNMP訪問應(yīng)用程序漏洞攻擊緩存溢出攻擊、DNS利用、FTP利用、Linux/Unix利用、郵件利用、網(wǎng)絡(luò)設(shè)備利用、其他主機(jī)利用、Telnet利用、TCP劫持、Web利用、Windows利用違反組織安全策略被禁止的HTTP訪問、被禁止的Telnet/SSH訪問、聊天和即時(shí)通訊、被禁止的流內(nèi)容、其他外部IP訪問、被禁止的應(yīng)用訪問、被禁止的FTP訪問、過量的Internet訪問、可疑的郵件內(nèi)容和附件、可疑的內(nèi)部網(wǎng)絡(luò)活動(dòng)、被禁止的軟件安裝密碼猜測(cè)攻擊POP3口令猜測(cè)、Windows口令猜測(cè)、UNIX口令猜測(cè)、應(yīng)用軟件口令猜測(cè)環(huán)境威脅供電中斷、通信中斷、設(shè)備故障、靜電、電磁干擾、溫度變化、數(shù)據(jù)存儲(chǔ)介質(zhì)損壞人為誤操作未經(jīng)授權(quán)進(jìn)行數(shù)據(jù)拷貝或盜取數(shù)據(jù)、無意中對(duì)數(shù)據(jù)操作、未經(jīng)授權(quán)將IT系統(tǒng)連接到其他網(wǎng)絡(luò)預(yù)置場(chǎng)景列列表（12大類120個(gè)場(chǎng)景560條規(guī)則）漏洞掃描工具

安全管理平臺(tái)網(wǎng)絡(luò)設(shè)備：應(yīng)用系統(tǒng)：操作系統(tǒng)：網(wǎng)絡(luò)TXT/XML等格式1.手動(dòng)交換方式2.自動(dòng)傳遞方式與漏洞掃描描系統(tǒng)的整整合支持的響應(yīng)應(yīng)方式主要要有:命令行告警警輔助決策聯(lián)聯(lián)動(dòng)命令陷阱導(dǎo)入交換機(jī)端口口啟用、禁禁用操作防火墻阻斷斷發(fā)送郵件鈴聲告警SNMPTrap方式告警TopDesk補(bǔ)丁升級(jí)TopDesk防火墻阻斷斷TopPolicy防火墻阻斷斷聲光報(bào)警聲音報(bào)警WinPop告警工單處理短消息事件響應(yīng)管管理用戶選擇需需要輔助決決策處理的的事件，系系統(tǒng)將會(huì)自自動(dòng)為其匹匹配決策，，并由用戶戶決定是否否執(zhí)行決策策中的響應(yīng)應(yīng)腳本。基于專家處處理的輔助助決策文件解析引擎提供數(shù)據(jù)格格式的解析析安全設(shè)備：：防火墻、、入侵檢測(cè)測(cè)系統(tǒng)、VPN、防病毒軟軟件、漏洞洞掃描器、、安全審計(jì)計(jì)系統(tǒng)等網(wǎng)絡(luò)設(shè)備：：交換機(jī)、、路由器等等操作系統(tǒng)：：WindowsNT/2000/XP/2003操作系統(tǒng)、、主流Linux系統(tǒng)、主流Unix系統(tǒng)等應(yīng)用系統(tǒng)：：Web（apache、iis）、Ftp（iis）、Mail（exchange）、DBMS（Oracle、SQLServer、DB2、Informix、Sybase）等其他任何支支持標(biāo)準(zhǔn)SYSLOG、WELF、SNMP（v2、v3）等日志格格式的設(shè)備備和系統(tǒng)通過flexer標(biāo)記語言可快速提供供對(duì)未知設(shè)備備日志格式式的支持，不需要修修改程序代代碼總結(jié)：目前前TSM可以收集業(yè)業(yè)內(nèi)110種日志格式式，對(duì)于不不能夠支持持的設(shè)備，，可以在5個(gè)工作日內(nèi)內(nèi)定制開發(fā)發(fā)完成。數(shù)據(jù)文件解解析引擎訪問和身份份管理IBMTivoliAccessManager

IBMTivoliIdentityManagerMicrosoftActiveDirectoryCAeTrustAccessCAeTrustSecureProxyServerCAeTrustSiteminder(Netegrity)RSASecureIDRADIUSOracleIdentityManagement(Oblix)SunJavaSystemDirectoryServerCiscoACS路由器/交換機(jī)思科路由器器交換設(shè)備備華為路由器器交換設(shè)備備中興路由器器交換設(shè)備備CiscoCatalyst交換機(jī)Foundry交換機(jī)JuniperJunOSNortel以太網(wǎng)路由由交換機(jī)8300,8600,400系列操作系統(tǒng)日日志、日志志記錄平臺(tái)臺(tái)Solaris(Sun)*AIX(IBM)OS/400(ISeries)RedHatLinuxSuSELinuxHP/UXMicrosoftWindowsEventLog(W2K3DHCP,W2KDHCP,IIS)MicrosoftSNMPTrapSenderNokiaIPSONovellNetWareOpenBSDTandemNon-StopOS(HP)Tru64TripplightUPSMonitorwareSYSLOGKiwiSyslogzOS-MainframeIDS防病病毒毒CipherTrustIronMailMcAfeeVirusScanNortonAntiVirus(Symantec)McAfeeePOTrendMicroInterScan網(wǎng)絡(luò)入侵侵檢測(cè)/防護(hù)天融信\啟明星辰辰金諾網(wǎng)安安McAfeeIntrushieldSourcefireNetworkSensorSourcefireRNAJuniperIDPISSRealSecureNetworkSensorISSProventiaGISSProventiaMISSBlackICESentryCiscoSecureIDSSNORTIDS應(yīng)用ApacheMicrosoftIISIBMWebSphere

OracleDatabaseServerLotusDominoSAPR3應(yīng)用安全全性BlueCoatProxyNortelITM(智能流量量管理)TerosAPSSentrywareHiveIBMDataPower(即將面市市)防火墻天融信聯(lián)想網(wǎng)御御網(wǎng)御神州州CheckPointFirewall-1CiscoPIXFortinetFortiGateJuniper(Netscreen)LinuxIPTablesMicrosoftISAServerNortelSwitchedFirewallStonesoft'sStoneGateSecureComputing'sSidewinderSymantec'sEnterpriseFirewall安全漏漏洞評(píng)評(píng)估綠盟啟明星星辰榕基NessusISSInternetScannerFoundstone支持超超過110多個(gè)事事件的的日志志格式式系統(tǒng)能能夠通通過直直觀、、友好好的網(wǎng)網(wǎng)絡(luò)管管理界界面，，可以以實(shí)現(xiàn)現(xiàn)對(duì)網(wǎng)網(wǎng)絡(luò)中中的設(shè)設(shè)備、、主機(jī)機(jī)、應(yīng)應(yīng)用系系統(tǒng)等等方面面的綜綜合管管理與與監(jiān)控控。主要包包括網(wǎng)網(wǎng)絡(luò)設(shè)設(shè)備自自動(dòng)發(fā)發(fā)現(xiàn)、、拓?fù)鋼涔芾砝?、視視圖管管理、、性能能管理理、資資產(chǎn)管管理等等功能能。網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理可可以對(duì)掃描描到的所有有網(wǎng)絡(luò)設(shè)備備進(jìn)行管理理，包括IP地址、、端口、鏈鏈路、VLAN、、數(shù)據(jù)統(tǒng)計(jì)計(jì)等。網(wǎng)