25-安全感知平臺功能說明-分析中心

安全感知平臺功能說明-分析中心熟悉分析中心的分析功能教學(xué)目標(biāo)分析中心目錄分析中心分析中心的作用說明：1、分析中心結(jié)合了深信服安全感知平臺的可視化威脅追捕、溯源分析、情報關(guān)聯(lián)、行為分析等技術(shù)提供的可視化數(shù)據(jù)呈現(xiàn)，展現(xiàn)那些暫未形成安全事件，但存在可疑，或結(jié)合業(yè)務(wù)現(xiàn)狀可分析發(fā)現(xiàn)存在異常的數(shù)據(jù)，提供給駐點安全專家，或有一定安全分析能力的運維人員進(jìn)行分析，從正?，F(xiàn)象中挖掘異常。查看主機存在的外部、橫向、外連，三個方向的威脅以及訪問情況進(jìn)行分析。對惡意文件以及郵件威脅可以直接查看到。2、對2U的SIP平臺還可以使用SIEM與EBA發(fā)現(xiàn)更多的主機風(fēng)險，可以全方位的對安全事件進(jìn)行識別。分析中心通報說明：1、分析中心包括了外部、橫向、外連三個方向的安全與訪問關(guān)系，并對數(shù)據(jù)傳輸中的文件威脅和郵件威脅做出了單向的檢測展示。2、對訪問情況，平臺還將識別其訪問次數(shù)以及訪問流量，并通過機器學(xué)習(xí)出基線，識別出異常，通過EBA（行為畫像）展示。3、若在有第三方操作系統(tǒng)以及第三方設(shè)備可以接入到SIP時，會通過SIEM進(jìn)行關(guān)聯(lián)分析。分析中心分析中心功能介紹威脅分析來自互聯(lián)網(wǎng)，內(nèi)網(wǎng)的攻擊，包括外部威脅、橫向威脅，外連威脅和文件威脅、郵件威脅檢測。分析中心分析中心功能介紹訪問分析檢測互聯(lián)網(wǎng)，內(nèi)網(wǎng)主機的訪問關(guān)系，審計訪問行為。日志檢索平臺審計的安全日志，審計日志以及第三方日志等。情報分析查看當(dāng)前平臺的威脅情報總量，檢測到內(nèi)網(wǎng)存在威脅情報的情況，并可自定義威脅情報以及將誤報的情報加入白名單。SIEM分析系統(tǒng)通過接入第三方設(shè)備/操作系統(tǒng)日志進(jìn)行異常行為分析。行為分析（EBA）通報機器學(xué)習(xí)，建立服務(wù)器訪問基線，為后續(xù)識別出服務(wù)器的異常流量以及異常訪問等。分析中心威脅分析----外部威脅分析來自互聯(lián)網(wǎng)的攻擊，包括總覽、高危攻擊、殘余攻擊、外部風(fēng)險訪問等。快速識別到互聯(lián)網(wǎng)的攻擊，可用于分析入口點。分析中心威脅分析----橫向威脅分析來自內(nèi)網(wǎng)主機的攻擊行為，包括橫向攻擊、違規(guī)訪問、可疑行為等。分析中心威脅分析----外連威脅分析內(nèi)網(wǎng)主機主動向互聯(lián)網(wǎng)發(fā)起的攻擊行為或異常連接，包括對外攻擊，C&C通信，隱蔽通信等。分析中心威脅分析----文件威脅分析STA審計到的文件，上傳到SIP通過分析引擎進(jìn)行識別是否為惡意文件。分析中心威脅分析----郵件威脅分析包括釣魚郵件、垃圾郵件以及病毒郵件的檢測分析。分析中心威脅分析----分析中心是用于更高級的安全事件分析工具，較處置中心，需要更強的安全分析能力。如當(dāng)在處置中心中發(fā)現(xiàn)一臺主機的威脅等級為中危、低危時，可以通過分析中心對該主機進(jìn)行外部、橫向、外連等維度的威脅分析。如發(fā)現(xiàn)00這臺服務(wù)器存在一些異常行為但是處置中心為低危，如下圖：分析中心低危事件為被互聯(lián)網(wǎng)遠(yuǎn)程風(fēng)險訪問，這時還可以通過分析中心進(jìn)行查找是否存在其它的行為我們在橫向可疑行為上發(fā)現(xiàn)了該服務(wù)器還存在掃描行為，通過人工的方式進(jìn)一步分析威脅分析分析中心分析中心----訪問分析頁面圖示：分析中心訪問分析功能概述橫向訪問分析通過探針審計橫向訪問流量分析出服務(wù)器流量排行以及內(nèi)網(wǎng)最活躍的源主機。外連分析識別內(nèi)網(wǎng)主機訪問互聯(lián)網(wǎng)的情況，分析服務(wù)器和終端，是否訪問到?jīng)]有業(yè)務(wù)的地域行為。外對內(nèi)業(yè)務(wù)流量分析審計互聯(lián)網(wǎng)對DMZ區(qū)業(yè)務(wù)的訪問情況，識別出是否有異常的大流量訪問或大量的訪問次數(shù)?？梢蒁NS分析探針審計到內(nèi)網(wǎng)主機訪問了一些異常的DNS訪問請求。訪問控制核查配置好需要核查的關(guān)系，通過探針進(jìn)行審計，是否存在該訪問關(guān)系。分析中心訪問分析----訪問關(guān)系用于分析主機發(fā)起的橫向或外連的行為，較之前介紹的“正常橫向訪問監(jiān)控”、“正常外連監(jiān)控”更詳細(xì)。橫向連接內(nèi)網(wǎng)橫向訪問可以查看被訪問服務(wù)器的流量情況以及最活躍的源主機情況。分析中心訪問分析----對外連接內(nèi)網(wǎng)主動向互聯(lián)網(wǎng)發(fā)起連接，并區(qū)分出服務(wù)器與終端。分析中心訪問分析----外對內(nèi)業(yè)務(wù)流量分析該頁面可視對外網(wǎng)開放的業(yè)務(wù)流量情況，如可視哪些業(yè)務(wù)訪客最多，流量最大，來自于哪些地區(qū)的訪客。分析中心訪問分析----可疑DNS分析訪問一些高風(fēng)險注冊地（小國家的地址，如蒙塞拉特島、薩摩亞等可以自定義）政府單位會關(guān)注。分析中心訪問分析----訪問控制核查該頁面通過觀察指定的IP（組）之間是否有訪問，來核查訪問控制策略是否生效。分析中心日志檢索是最原始的數(shù)據(jù)源，其中有安全日志也有審計日志，上述的分析中心模塊是已經(jīng)將日志檢索中的日志進(jìn)行聚合的結(jié)果，只在需要分析單條日志時才使用日志檢索。日志類型選擇用于篩選安全日志，審計日志以及第三方接入設(shè)備/操作系統(tǒng)日志，進(jìn)行分類查詢。搜索框可以自定義輸入查詢的字段，搜索技巧可以查看幫助文檔。日志方向在分析日志時，可能有時需要只篩選某個方向上的日志，可以使用此功能。重點/可選字段在檢索到的日志時，有一些字段默認(rèn)未展示，可以手動添加重點或可選字段。解碼小助手在檢索到日志后發(fā)現(xiàn)日志是url，base64等常見編碼時，可以使用解碼小助手解碼查看分析。分析中心用于解碼URL、base64等方式編碼的內(nèi)容。選擇需要檢索的日志類型。通過字段檢索需要的日志。日志數(shù)量統(tǒng)計與趨勢情況。檢索時間范圍。日志檢索分析中心情報分析威脅情報總覽威脅情報包括域名/url/ip/md5信息，總覽展示當(dāng)前網(wǎng)絡(luò)中存在的匹配到威脅情報的總體情況。分析中心情報分析自定義威脅情報可以自定義發(fā)現(xiàn)的威脅情報，并定義級別出現(xiàn)，當(dāng)內(nèi)網(wǎng)中出現(xiàn)時，將會檢測出安全事件。分析中心情報分析----威脅情報白名單當(dāng)前存在誤報的域名/url/ip/md5，可以使用白名單功能，增加白名單項。分析中心SIEM分析系統(tǒng)通過接入第三方安全設(shè)備（如防火墻、IPS、IDS、WAF、終端安全等）、網(wǎng)絡(luò)設(shè)備（如路由器、交換機等）、操作系統(tǒng)（如windows、linux各系列）、中間件（web中間件如apache等，數(shù)據(jù)庫中間件如Mysql、Sqlserver等中間件）等日志數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，結(jié)合AI機器學(xué)習(xí)和數(shù)據(jù)挖掘技術(shù)發(fā)現(xiàn)安全威脅和安全風(fēng)險，結(jié)合可視化呈現(xiàn)，構(gòu)造多源化監(jiān)視和分析的安全系統(tǒng)，目的旨在幫助用戶通過多源數(shù)據(jù)分析檢測威脅和溯源（2U設(shè)備支持關(guān)聯(lián)分析）。分析中心SIEM分析系統(tǒng)第三方接入說明文件，從深信服社區(qū)進(jìn)行下載。/plugin.php?id=sangfor_databases:index&mod=viewdatabase&tid=60194分析中心SIEM分析系統(tǒng)分析中心SIEM分析系統(tǒng)分析中心SIEM分析系統(tǒng)分析中心行為分析（EBA）UEBA采用流式計算框架，產(chǎn)生的日志以流的形式不斷的輸入到分析引擎，分析引擎以最近一段時間（7~30天）的數(shù)據(jù)為基礎(chǔ)進(jìn)行學(xué)習(xí)，學(xué)習(xí)正常的行為模式，對于偏離正?；€的行為做出異常告警。UEBA可以檢測傳統(tǒng)工具看不到的安全事件，因為這些安全