1、态势感知与安全运营平台产品白皮书2024目录第 5 页1 产品概述61.1 产品简介61.2 产品定位61.3 产品形态及构架62 产品功能92.1 日志采集器92.2 网络流量传感器92.3 数据采集、存储、检索102.4 资产中心112.5 威胁检测132.6 分析中心142.7 响应中心162.8 安全管理172.9 安全概览182.10 仪表板与报表182.11 态势可视化192.12 运维工作台202.13 系统管理202.14 运营服务213 特点与优势223.1 灵活的数据接入223.2 高性能关联分析223.3 持续的威胁建模233.4 多视角安全监测233.5 丰富的威胁情报243.6 强大的大数据技术243.7 先进的机器学习254 产品价值254.1 持续监控,实时掌握安全状况254.2 全面检测,及时发现高级威胁264.3 响应处置,实现威胁闭环管理264.4 事件调查,高效完成威胁研判274.5 风险管理,提升安全预警能力274.6 威胁预警,全面评估事态发展284.7 弹性平台,满足业务扩展需要285 应用场景305.1 集中部署305.2 分级部署306
2、产品配置311 产品概述1.1 产品简介奇安信态势感知与安全运营平台(Next Generation Security Operation Center,以下简称 NGSOC)在 ISO27000 信息安全管理体系和国家等级保护基本要求的指导下设计完成,可以为安全管理者提供资产、威胁、脆弱性等管理能力,并具备对威胁的事前预警、事中发现和事后回溯的能力,对威胁进行完整的生命周期管理。NGSOC 继承了奇安信集团下属网神子公司长期以来在 SIEM 产品上的丰富经验,同时融合目前先进的大数据技术,既能满足海量数据环境下的高效分析需求,又兼顾针对 IT 数字化转型的大量基础管理功能。奇安信集团在产品设计中,有针对性的着重提升产品易用性、分析准确率和计算性能,并提供完善的配套服务方案,以帮助用户更好地使用 NGSOC 产品。1.2 产品定位NGSOC 是奇安信基于大数据架构推出的面向政企客户安全运营中心的安全管理工具。NGSOC 使用了大量新型安全技术,其中威胁情报能够快速帮助用户补足在安全攻防上的短板,既可以帮助发现潜在威胁,也可以提供更丰富的威胁分析手段和能力。而诸如依赖于机器学习的 WEB
3、 攻击发现等一系列威胁检测手段则能进一步提高对网络安全事件的检出率和检测准确率。在架构革新和新技术的推动下,NGSOC 产品正在引领国内安全管理产品市场的变革,为国内 1000+大型部委、央企、电子政务、公检法、金融、交通、教育等行业提供落地实践。据权威咨询机构赛迪顾问的统计数据,奇安信 NGSOC 产品在中国安全管理平台产品市场中市场占有率第一。1.3 产品形态及构架态势感知与安全运营平台 NGSOC 产品标准组件和可组合的独立产品及服务如下图所示:第 31 页图 1 NGSOC 产品组成NGSOC 产品标准组件包括 NGSOC-态势感知与安全运营平台、NGSOC-网络流量传感器和 NGSOC-日志采集器三部分。NGSOC 产品标准组件可为客户提供性价比极高的核心解决方案,其中, NGSOC-网络流量传感器除了对威胁提供高检出率和检测准确率能力之外,还可从 流量中被动发现资产及其脆弱性数据。NGSOC-态势感知与安全运营平台基于威胁、脆弱性及资产价值,为客户网络提供完整的安全风险评估。此外,NGSOC-态势感知与安全运营平台可搭配奇安信集团旗下的一系列安全产品进行组合,为大中型企业客
4、户提供完善、整体或者应对专项问题的解决方案,支持组合的产品包括奇安信网神漏洞扫描系统、奇安信网神资产管理系统、奇安信网神服务器管理系统、奇安信上网行为管理系统、奇安信新一代智慧防火墙和奇安信天擎终端管理系统。企业安全管理者期望快速补充安全能力,提高安全运营的管理、技术和流程水平,也可基于 NGSOC 态势感知与安全运营平台补充威胁情报和安全运营服务。NGSOC 标准组件的功能概述如下:1) NGSOC 网络流量传感器NGSOC 网络流量传感器用于对现网流量进行流量还原及流量检测,并基于流量被动发现资产信息,将生成的网络日志、威胁日志和资产数据上送至 NGSOC 平台。传感器具备数据采集和数据外发能力,能够对数据的采集策略、外发策略进行灵活配置。并能够针对网络流量进行安全检测、反病毒、漏洞防护、防间谍软件、IOC 情报检测等威胁分析,并将分析后的威胁日志上传至 NGSOC 平台。2) NGSOC 日志采集器NGSOC 日志采集器是对网络内各业务应用系统、安全设备、服务器、终端等设备,通过主动采集或被动接收等方式对系统、应用或安全日志进行采集并进行范式化预处理,方便 IT 人员或安全分析人
5、员对日志数据流进行实时关联分析和数据分析。3) NGSOC 态势感知与安全运营平台NGSOC 平台基于大数据架构,能够支撑大并发量计算和查询。NGSOC 平台用于存储 NGSOC 网络流量传感器和 NGSOC 日志采集器提交的流量日志、威胁日志、设备日志和系统日志,并提供应用交互界面。NGSOC 平台基础应用层的数据检索模块采用了分布式计算和搜索引擎技术对所有数据进行处理,可通过多台设备建立集群以保证存储空间和计算能力的供应。NGSOC 平台在强有力的基础大数据架构的支撑和关联分析引擎强劲检测能力的辅助下,建立了一套完善的威胁检测、响应和处置流程的支撑体系,可通过 NGSOC 平台对资产、脆弱性、拓扑等基础 IT 管理属性和威胁告警、风险等安全属性进行全生命周期管理。功能涵盖从威胁发现、展示、归纳到处置响应联动的闭环能力。2 产品功能2.1 日志采集器NGSOC 日志采集器支持对国内外数十家厂商的上百种常见设备的日志进行自动解析、过滤、富化、内容转译、范式化;支持 Syslog、DB、SNMP、Netflow、 API 接口、镜像流量、文件等多种采集方式。日志采集器会采集以下信息:l
6、网络日志:流量会话、应用行为、文件传输、账号登录等。l 安全日志:网络设备、主机、数据库、安全设备、中间件、虚拟化、应用系统、网关系统等。l 终端日志:文件行为、进程行为、邮件行为、注册表等。l 系统日志:系统登录、系统操作、业务查询、应用信息等。日志采集器可与平台统一部署在一台服务器内,也可视规模单独部署,采集内容包含但不限于操作系统、数据库、中间件、应用系统、数据库、网络设备、安全设备的状态信息和异常告警信息。2.2 网络流量传感器NGSOC 网络流量传感器支持数十种网络协议的识别、解析和检测。检测手段丰富多样,可从多个维度综合识别评估网络威胁。为安全分析人员提供基础的告警信息和能力支撑。l 支持网络数据和 7 层应用协议识别和还原:MPLS、PPPOE、QinQ、TCP 流量日志、UDP 流量日志、LDAP 行为日志、SSL 协商日志、SSL 解密、域名解析日志、登录行为日志、邮件行为日志、FTP 访问日志、文件传输日志、Web访问日志、Telnet 行为日志、数据库操作日志、智能应用、PCAP 文件回放检测等。l 支持识别网络威胁数据:失陷检测、入侵检测、病毒检测、异常流量、D
7、DoS 攻击、应用识别等。l 支持通过流量被动发现资产,及资产脆弱性信息。流量采集器可旁路部署于网络核心位置,接收镜像流量并进行流量解析还原,并详细记录流量日志。同时,流量采集器查询本地威胁情报和威胁特征库,与流 量解析结果进行比对,生成网络威胁告警日志。流量采集器将流量日志和告警日志实时传输至 NGSOC 平台。2.3 数据采集、存储、检索数据采集功能,对接入的采集设备、数据的解析规则和策略提供统一的管理,并对数据源采集状态、采集速率和趋势、NGSOC 平台安全状态、集群节点数和健康状态进行实时监控。日志检索功能为调查取证提供有力支撑,日志信息的全量存储,能够有效的帮助安全分析师进行追根溯源,绘制完整的事件画像,NGSOC 平台采用高性能的分布式集群数据存储系统,核心数据存储采用分布式全文检索方式,能自适应任何格式的数据来源。该系统是一个实时的分布式搜索和分析引擎,它可以帮助企业以前所未有的速度处理海量数据,它可以用于全文搜索、结构化搜索以及分析。该系统具有如下特点:l 丰富的搜索模式:NGSOC 提供了面对不同角色用户的搜索方式,具有面向普通用户的交互式快捷搜索模式,通过选择、拖拽
8、即可完成日志数据的检索。同时也提供面向安全分析人员的高级搜索方式,提供类 SQL 语句的数据分析和数据挖掘功能,能够有效的帮助安全分析师进行威胁溯源,还原安全事件全过程。l 任务化搜索功能:系统会将部分日志存储与 HIVE 中,来保证数据的长周期存储。因为 HIVE 特性,导致其无法实时快速返回数据,所以在用户想要检索此类数据时,可以通过冷数据搜索模式,根据搜索的日志类型和时间范围,系统将自动通过后台任务查询日志数据。并且系统提供多任务并行处理能力,以避免用户长时间等待。l 海量数据处理能力:系统具有分布式搜索引擎,能够实现按需扩展,系统支持跨服务器、跨数据源、分布式的信息索引技术,能够处理 PB 级别以上的结构化或非结构化数据,达到百亿条数据秒级检索。l 检索可视化:针对检索出的数据,日志可实现可视化图表的统计展示,并支持导出进一步利用,为研判分析提供原始数据支撑。2.4 资产中心资产风险评估模块对资产和资产组进行风险数值的量化,给出具体的评分指标,能够有效的反映出当前网络的安全风险状态,安全管理人员能够宏观了解全网安全态势,给管理者提供有力的辅助决策支撑。平台参照 GB/T 209
9、84-2007 信息安全风险评估规范,结合多年的安全运营经验,设计出实用的风险计算模型,帮助用户量化安全风险。l 量化资产风险:系统参考风险评估规范及相关指导文件,设计完整的风险评估算法,将资产价值、威胁、脆弱性三大属性进行融合加权计算,形成百分制的量化指标,给安全分析人员提供参考。评估模型自定义:系统支持自定义风险评估模型,即满足等保对安全管理中心的风险计算要求,也可适应不同用户对风险评估的特殊要求。l 量化异常行为:系统将资产关联的异常行为进行汇总,计算异常行为得分,帮助分析人员了解资产的异常信息,更全面的掌握资产风险情况。l 风险计算配置:支持对资产项进行自定义配置,包含威胁告警和脆弱性是否参与计算,风险值级别调整等内容,满足不同用户对风险值的自定义需求。资产风险值会在系统的资产风险模块、仪表板、态势大屏等多个模块展示不同数据域、不同分组的风险数值,为运营人员提供当前安全风险的判断依据。资产的脆弱性会严重影响网络的安全性,甚至成为网络安全中的短板。因此,提前获悉资产和业务中存在的脆弱性信息,并采取补救措施或者做好应急预案,成为网络安全建设的基础,也是核心的能力之一。NGSOC 的脆弱性管理模块,实现对重要资产的漏洞、web 漏洞、弱口令、配置弱点的收集和管理,并将漏洞、 web 漏洞、弱口令和配置弱点的结果自动同步到风险模块中,参与风险计算。l 联动第三方扫描器:NGSOC 支持对漏扫设备进行集中管理,支持下发漏洞扫描任务和弱口令扫描任务,收集扫描结果,并支持同步第三方配置核查系统的配置核查扫描任务,建立完整、持续的脆弱性发现和管理手段。l 导入第三方脆弱
《2024态势感知与安全运营平台产品白皮书》由会员职**分享,可在线阅读,更多相关《2024态势感知与安全运营平台产品白皮书》请在金锄头文库上搜索。
