SOC安全運營中心產(chǎn)品介紹課件

首頁天融信SOC安全運營中心介紹高級安全顧問：陶越首頁天融信高級安全顧問：陶越題綱SOC背景及基礎(chǔ)TSM安全運營中心TSM系統(tǒng)特點題綱SOC背景及基礎(chǔ)SOC相關(guān)名詞術(shù)語SOC（SecurityOperatingsCenter）安全運營中心/安全管理平臺SIM（SecurityInformationManagement）安全信息管理SEM（SecurityEventsManagement）安全事件管理SIEM（SecurityInformationandEventsManagement）安全信息與事件管理LM（LogManagement）日志管理SMC（SecurityManagementCenter）安全管理中心MSS（ManagedSecurityService）可管理的安全服務/安全托管服務MSSP（ManagedSecurityServiceProvider）安全托管服務提供商MNS（ManagedNetworkService）可管理的網(wǎng)絡服務/網(wǎng)絡托管服務NOC（NetworkOperatingsCenter）網(wǎng)絡運營中心SOC相關(guān)名詞術(shù)語SOC（SecurityOperatinSOC命名來源于NOC，概念來源于MSS國際一般指SOC是一個中心，有固定的場所，有一個技術(shù)支撐平臺、有大屏幕系統(tǒng)、有組織人員、有一套運營的流程，為第三方提供安全管理服務。國際通行的SOC理念是服務和產(chǎn)品圍繞MSS運營展開的，是支撐MSS的技術(shù)基礎(chǔ)，鮮見以SOC命名的產(chǎn)品國內(nèi)一般指SOC是一個技術(shù)平臺，是一個傳統(tǒng)概念上的成熟安全產(chǎn)品，而不考慮運維，將產(chǎn)品與運營之間的關(guān)系裁剪掉了SOC命名來源于NOC，概念來源于MSSMSSandMSSP為了節(jié)省客戶的相關(guān)安全投入，即客戶將安全外包給MSSP，以小于原投入的資金獲得更加專業(yè)的業(yè)務安全。概念來源于MNS，是相對網(wǎng)絡托管服務提出的安全管理服務全球12大MSSP：AT&TBTIBMIntegralis（專注于歐洲市場）MegaPathPerimeterSavvisSecureWorksSolutionarySymantecVerizonVeriSign（MSS業(yè)務快要賣光了）Gartner（高德納）公司將MSS定義為以下幾類：

防火墻或IPS的監(jiān)視與托管IDS的監(jiān)視與托管

DDOS防護郵件反病毒/反垃圾托管服務防病毒網(wǎng)管托管服務

安全信息管理安全事件管理網(wǎng)絡、服務器或應用的弱點掃描托管

安全弱點或威脅通知服務日志分析托管監(jiān)視/托管設備報告與故障響應報告MSSandMSSP為了節(jié)省客戶的相關(guān)安全投入，即客戶將MSS服務方式MSS服務方式SOC、MSS、MSSP及User間關(guān)系MSSPMSSSOCUserISP應用商安全廠商專業(yè)服務商咨詢商入侵監(jiān)測遠程監(jiān)控漏洞評估事件管理合規(guī)檢測運維報告漏掃系統(tǒng)大屏監(jiān)控事件工具日志工具病毒系統(tǒng)運維人員FirewallIDSIPSAuditAV支撐解決方案建設提供服務產(chǎn)品利用管理系統(tǒng)及服務SOC、MSS、MSSP及User間關(guān)系MSSPMSSSOCSOC產(chǎn)生的背景伴隨MSS的發(fā)展而產(chǎn)生的由ISS（IBM收購）在1998年提出MSS概念1999~2001年ISS先后在全球建立了多個SOC中心1998年CheckPoint推出了CheckPointProvide-1防火墻/VPN集中管理平臺，提供給MSSP實現(xiàn)多臺防火墻的管理2000年Counterpane（BT收購）推出MSS服務，在全美范圍內(nèi)構(gòu)建安全監(jiān)控中心，以此實現(xiàn)MSS服務2001年WatchGuard推出防火墻/VPN狀態(tài)監(jiān)測和日志分析報表系統(tǒng)2001年Symantec改造了圣安東尼奧的SOC中心，超過140名安全專家提供24*7*365的安全管理服務,并且陸續(xù)在全球建有5個SOC中心2000年ArcSight開發(fā)了SIEMS系統(tǒng)，2004年發(fā)布了ESM3.0，Gartner從2005年至2007年的SIEMMagicQuadrant評測分析中，ArcSightESM也是連續(xù)3年保持在領(lǐng)導者位置SOC定位于MSS服務的提供，或開展MSS服務的ISP也是其目標客戶面向普通客戶的主要是SIEM系統(tǒng)SOC產(chǎn)生的背景伴隨MSS的發(fā)展而產(chǎn)生的SOC產(chǎn)生背景（續(xù)）2001年安氏利用ISS的知識將MSS的概念引入中國，并與世紀互聯(lián)簽訂了中國第一份MSS合作協(xié)議與此同時SOC的概念登陸中國，國情不同SOC概念逐漸逐漸被源SOC概念中的工具替代2004年安氏推出了安全運營中心解決方案同年啟明推出了泰合安全運營中心系統(tǒng)同年天融信推出企業(yè)安全平臺（EnterpriseSecurityPlatform）2.0系統(tǒng)，2006年推出TSM3.0近幾年以SOC命名技術(shù)平臺的用法逐漸被安全管理平臺命名方式替代SOC產(chǎn)生背景（續(xù)）2001年安氏利用ISS的知識將MSS的全球SIEMS主流廠商領(lǐng)導研究者參與者挑戰(zhàn)者SIEMS功能定義：標準化整合化關(guān)聯(lián)化分析化全球SIEMS主流廠商領(lǐng)導研究者參與者挑戰(zhàn)者SIEMS功能定SOC市場劃分（國際）ITSIEMMSSSOC服務工具用戶IT系統(tǒng)提供安全托管服務建立安全運營中心MSSPMSSP為提供MSS，需要構(gòu)建服務型的SOCSOC市場劃分（國際）ITSIEMMSSSOC服務工具用戶ISOC市場劃分（中國特色）IT安全管理平臺SIMorSEMandSMCSOC幫助用戶部署服務工具（集成平臺運維服務）用戶IT系統(tǒng)提供產(chǎn)品解決方案有些政府、企業(yè)或組織因為數(shù)據(jù)的私有與機密性等問題，需要自行進行集中的安全管理，需要構(gòu)建自用型的SOC安全廠商未來幾年MSS可能會成為國內(nèi)安全市場的熱點。SOC市場劃分（中國特色）IT安全管理平臺SOC幫助用戶部署SOC技術(shù)SOC是MSS實現(xiàn)的基礎(chǔ)，它的構(gòu)建包括：人員（安全專家）、工具、流程、地點及物理設施（網(wǎng)絡、監(jiān)視屏）等。它提供安全的集中運營，包括安全研究、安全評估、安全策略制定、安全集中監(jiān)視、安全響應、安全設備配置等。國際SOC中采用的技術(shù)是由其MSS業(yè)務決定的，沒有完整的SOC產(chǎn)品，根據(jù)業(yè)務細分產(chǎn)品國內(nèi)目前SOC采用的技術(shù)業(yè)界公認為“安全管理平臺”。它由國內(nèi)安全市場的現(xiàn)狀決定，是一個龐大的系統(tǒng)。它的功能覆蓋了很多細分產(chǎn)品的功能如：SIEM、設備管理、漏洞管理、合規(guī)性及風險管理等。并且有趨勢，變得更加龐大，會整合進更多的安全功能進行集中的安全管理。SOC技術(shù)SOC是MSS實現(xiàn)的基礎(chǔ)，它的構(gòu)建包括：人員（安全國內(nèi)安全管理平臺功能定義定位以資產(chǎn)為核心、以事件管理為關(guān)鍵流程、以風險控制為目標的面向安全的綜合一體化管理平臺系統(tǒng)基本功能資產(chǎn)管理：資產(chǎn)錄入、查詢、修改、屬性管理、統(tǒng)計等事件管理：事件采集、過濾、歸并、關(guān)聯(lián)分析、事件監(jiān)控、查詢、統(tǒng)計等脆弱性管理：弱點采集、資產(chǎn)關(guān)聯(lián)、漏洞查詢、脆弱性統(tǒng)計等風險管理：風險識別、風險計算、風險展示、風險監(jiān)控、風險預警、風險統(tǒng)計等安全知識庫管理：知識庫管理、安全論壇、輔助決策運維管理：工作流管理、工單管理、運營管理、運維統(tǒng)計等延伸功能設備管理：性能管理、配置管理、策略管理等網(wǎng)絡管理：拓撲管理、流量管理、故障管理等應用管理：應用監(jiān)控、應用統(tǒng)計、合規(guī)審計等終端管理：網(wǎng)絡準入、行為管理等ITIL運維：建設呼叫服務臺，提供統(tǒng)一的監(jiān)控運維管理職能

國內(nèi)安全管理平臺功能定義定位國內(nèi)安管平臺現(xiàn)狀近年SOC建設難言成功報出的事件以誤報居多，發(fā)現(xiàn)的風險難以理解自動圖表報表反映的是被誤報嚴重扭曲過的統(tǒng)計結(jié)果全流程的運維管理流程難以符合實際需要雖然建立了SOC系統(tǒng)，但并未建立SOC中心很多業(yè)內(nèi)人士也把SOC比喻成“垃圾電影”但沒人懷疑建設SOC的必要性首要原因是產(chǎn)品沒有正確定位、建設沒有循序漸進國內(nèi)安管平臺現(xiàn)狀近年SOC建設難言成功未來SOC之路安全事件管理是SOC的重中之重網(wǎng)絡管理與安全管理融合是國內(nèi)用戶的切實需求主動防御是日常安全管理的核心面向業(yè)務是未來SOC走出陰影的唯一出路客戶化定制適應不同行業(yè)的管理需求平臺建設是基礎(chǔ)，運營才是SOC的本質(zhì)未來SOC之路安全事件管理是SOC的重中之重題綱SOC背景及基礎(chǔ)

TSM安全運營中心TSM系統(tǒng)特點題綱SOC背景及基礎(chǔ)平臺服務(問題處理)(運維服務/平臺工具)策略與平臺實施(工程實施服務/平臺工具)安全咨詢(風險管理/服務工具)(1)資產(chǎn)(2)評估(5)TA/基于策略的事件管理(3)策略/基線(4)TP/策略執(zhí)行(6)安全業(yè)務服務流程管理(SBSM)(7)安全工作評估與考評KPI持續(xù)改進拓撲監(jiān)控流量監(jiān)控設備監(jiān)控。。。風險管理脆弱性管理事件管理響應管理關(guān)聯(lián)分析輔助決策安全報表訪問控制策略入侵檢測策略病毒過濾策略安全審計策略VPN通道策略資產(chǎn)管理網(wǎng)絡準入非法外聯(lián)行為監(jiān)管。。。網(wǎng)絡監(jiān)控管理TopNoc安全信息管理TopAnalyzer策略統(tǒng)一管理TopPolicy內(nèi)網(wǎng)合規(guī)性TopDeskTSM統(tǒng)一管理、監(jiān)控、調(diào)度服務臺天融信TSM一體化安全運維解決方案(1)(2)(5)(3)(4)TP/(6)安(7)持續(xù)改進拓天融信TSM安全運營中心TSM是安全信息和事件管理平臺，設計用于提高機構(gòu)安全運維部門、安全管理的效力、效率和可視性。

自動匯聚并關(guān)聯(lián)事件、日志和安全漏洞為多廠商環(huán)境提供廣泛的設備支持，包括安全性、網(wǎng)絡、主機和應用以資產(chǎn)為中心的事故識別

自動滿足行業(yè)規(guī)范和規(guī)章制度的要求基于政策方針和規(guī)章制度的行為監(jiān)控與報告最大限度地優(yōu)化安全資源利用率從數(shù)據(jù)收集和關(guān)聯(lián)直到行為和報告，實現(xiàn)安全管理的全程自動化的過程。天融信TSM安全運營中心TSM是安全信息和事件管理平臺，設計確定安全目標和運作模式按計劃進行日常安全保障檢查和審計安全工作和目標實現(xiàn)確保安全工作持續(xù)改進安全目標安全控制要求安全審計和檢查績效考核調(diào)整安全目標日常安全維護事件告警風險確定事件處理和解決報告審計安全監(jiān)控自上而下--目標管理監(jiān)控快速發(fā)現(xiàn)識別和發(fā)現(xiàn)問題自下而上--異常處理問題快速定位事件分析、告警事件快速處理解決安全風險知識有效積累提高風險處理能力安全管理流程的實現(xiàn)確定安全目標和運作模式按計劃進行日常安全保障檢查和審計安全工TSM-Analyzer平臺層次結(jié)構(gòu)TSM-Analyzer平臺層次結(jié)構(gòu)TSM的邏輯架構(gòu)1、TopAnalyzer基于J2EE架構(gòu)開發(fā)，具有極強的開放性、跨平臺與可移植性；2、數(shù)據(jù)庫采用Oracle9i/10g企業(yè)版、sqlserver2005、DB2等。3、支持Window、Linux、AIX等系統(tǒng)的部署代理層服務器展示層TSM的邏輯架構(gòu)1、TopAnalyzer基于J2EE架構(gòu)開面向消息中間件技術(shù)所有的事件在采集后對于所有模塊都是透明的，即可以實現(xiàn)事件分析的同時入庫。把原來審計系統(tǒng)的事后審計轉(zhuǎn)變?yōu)閷崟r的分析。面向消息中間件技術(shù)所有的事件在采集后對于所有模塊都是透明的，綜合監(jiān)控監(jiān)視儀表盤能做什么？——全局動態(tài)展現(xiàn)網(wǎng)絡中安全事件；監(jiān)視儀表盤的特點？——安全運維的窗口；綜合監(jiān)控監(jiān)視儀表盤能做什么？——全局動態(tài)展現(xiàn)網(wǎng)絡中安全事件；資產(chǎn)管理分析和評估資產(chǎn)的風險和價值，并通過對關(guān)鍵資產(chǎn)的實時監(jiān)控，以及對資產(chǎn)所產(chǎn)生的事件進行風險分析和處理,從而維護企業(yè)中各種資產(chǎn)的安全性；資產(chǎn)分類包括:資產(chǎn)類型資產(chǎn)物理位置資產(chǎn)用戶管理資產(chǎn)分組管理資產(chǎn)管理分析和評估資產(chǎn)的風險和價值，并通過對關(guān)鍵資產(chǎn)的實時監(jiān)風險管理風險管理安全事件處理流程EventDatabaseAgentVPNVirusHIDSNIDSFirewallDatabaseRouterSwitchServerKnowledgeDatabaseRawDataInformationKeyInformationActionExpertManager1Manager2AdvisorKnowledgeConsole呼叫中心安全管理員歸一化過濾歸并100萬Events

1萬Events

1百Events

安全事件處理流程AgentVPNVirusHIDSNI事件整合流程RawEventsDenialofServiceWormantivirusNormal/BenignNormalizationandfilteringCorrelateandanalyzeThreatEventssourcesEventcategory表示一個事件過濾冗余處理歸納分類綁定環(huán)境雜亂的事件長短一致顏色分類攻擊場景匹配事件整合流程RawEventsDenialofServ9/10/015：05：29PM，%PIX-6-106015：DenyTCP（noconnection）from8/2182to0/63228flagsSYNRSTPSHACKoninterfaceoutside2001-08-2016:12:56|doldrgn1|dragonserver|40|11711|41|1031|AP|6|Tcp,sp=11711,dp=1031,flags=AP|ProductNameETSIPSPDIPDPLocationDeptservicesOSPIX_FWBeijingFinanceHTTPWIN2000IDSShanghaiMarketSMTPSOLARISPIXFirewall–standardsyslogformatIDS–DataItemsseparatedbypipesEVENTSTableNormalizationBusinessRelevance9/10/015：05：29PM2001-08-2016:12:56

821820632284011711411031安全事件管理——事件標準化9/10/015：05：29PM，系統(tǒng)支持二級過濾功能，大量的噪音數(shù)據(jù)可以在Agent端直接丟棄，在管理服務器端還可以進行進一步的過濾以減少數(shù)據(jù)庫的壓力。所有事件過濾功能都使用SQL92標準組合任意過濾條件，可以使用戶靈活的控制事件過濾條件。安全事件管理——事件過濾系統(tǒng)支持二級過濾功能，大量的噪音數(shù)據(jù)可以在Agent端直接丟基于狀態(tài)機的關(guān)聯(lián)分析S0S1S2E0入侵檢測事件E1FW事件E2DB事件E3web事件E5超時E4FW2事件關(guān)聯(lián)分析引擎實現(xiàn)對來自不同應用、設備、系統(tǒng)等產(chǎn)生的不同類型的事件的實時關(guān)聯(lián)通過使用狀態(tài)機來抽象和描述攻擊的過程與場景，狀態(tài)機間的狀態(tài)轉(zhuǎn)換的條件由不同安全事件觸發(fā)實時關(guān)聯(lián)來自不同設備的安全事件，可以大大的降低IDS的誤報率，發(fā)現(xiàn)引發(fā)安全事件的真正原因和隱藏的威脅。系統(tǒng)不可用Firewall?HOST?DB?WebServer?TSM關(guān)聯(lián)分析主機應用異常導致服務問題S0:正常E0:應用系統(tǒng)異常事件（FromApplicationHost）E1:防火墻異常事件E2:數(shù)據(jù)庫系統(tǒng)異常事件S1:系統(tǒng)部分異常E3:WEB服務異常事件S2:WEBSERVER出現(xiàn)異常E4:狀態(tài)超時由于XX（E0,E1,E2,E3）原因?qū)е碌姆债惓；跔顟B(tài)機的關(guān)聯(lián)分析S0S1S2E0入侵檢測事件E1FW事件關(guān)聯(lián)分析可加速問題定位、提高系統(tǒng)可用性

關(guān)聯(lián)分析可加速問題定位、提高系統(tǒng)可用性 基于規(guī)則的關(guān)聯(lián)分析：將可疑的安全活動場景（暗示某潛在安全攻擊行為的一系列安全事件序列）加以預先定義。系統(tǒng)能夠使用定義好的關(guān)聯(lián)性規(guī)則表達式，對收集到的安全事件進行檢查，確定該事件是否和特定的規(guī)則匹配?；诮y(tǒng)計的關(guān)聯(lián)分析：定義一些大的安全事件類別，對每個類別的事件設定一個合理的閥值，將出現(xiàn)的事件先歸類，然后進行緩存和計數(shù)，當在某一段時間內(nèi)，計數(shù)達到該閥值，可以產(chǎn)生一個級別更高的安全事件?；谫Y產(chǎn)的關(guān)聯(lián)分析：安全事件能與相關(guān)資產(chǎn)的敏感性以及相關(guān)資產(chǎn)上的漏洞進行關(guān)聯(lián)，從而判斷某個安全事件是否能造成不良影響以及造成不良影響的嚴重程度?；趶V義漏洞的關(guān)聯(lián)分析：安全事件能同網(wǎng)段的相應漏洞進行關(guān)聯(lián)，判斷可能造成的不良影響。支持的關(guān)聯(lián)分析類型基于規(guī)則的關(guān)聯(lián)分析：支持的關(guān)聯(lián)分析類型【場景描述】（1）某個攻擊者對某臺主機進行端口掃描(事件來自于安全設備)（2）攻擊者發(fā)現(xiàn)該主機的3389端口（微軟遠程桌面服務）已打開，并通過口令字猜測獲得了該的主機口令（系統(tǒng)事件）；（3）攻擊者登陸上該臺主機，將其重要文件傳送出去（系統(tǒng)事件）Page34端口掃描Port3389isOpen場景規(guī)則【場景描述】Page34端口掃描Port3389is分類場景惡意代碼/病毒類后門攻擊、病毒攻擊、惡意郵件攻擊（附件可能是病毒或木馬）、自動安裝惡意程序、存在可疑軟件可疑程序文件內(nèi)容被防火墻修改、無效命令、可疑數(shù)據(jù)包、可疑活動、可疑的文件擴展名、可以端口活動、可疑路由、未知告警錯誤配置地址變化、應用配置、用戶設置、IP沖突、過載、硬件錯誤、郵件設置、系統(tǒng)啟動、系統(tǒng)設置、系統(tǒng)中斷、系統(tǒng)心跳、服務/進程狀態(tài)變更、軟件安裝、系統(tǒng)失效、系統(tǒng)狀態(tài)嘗試探測嗅探、信息流分析、應用查詢、主機查詢、網(wǎng)絡探察、郵件偵察、Windows偵察、Portmap/RPC請求、端口掃描、RPCDump、DNS偵察拒絕服務攻擊畸形DoS包、洪水攻擊、郵件服務攻擊、應用層拒絕服務欺騙和劫持IP欺騙和偽裝、IP分段、IP片段重疊、信息重放、IDS躲避非授權(quán)訪問認證成功、認證/授權(quán)失敗、FTP訪問、文件訪問、郵件訪問、WEB攻擊、繞過安全機制、網(wǎng)絡訪問中斷、權(quán)限提升、安全協(xié)商、安全策略變更、WEB—IIS非授權(quán)訪問企圖、Telnet訪問、Unix/Linux訪問、Web服務的非授權(quán)訪問企圖、Windows訪問、SNMP訪問應用程序漏洞攻擊緩存溢出攻擊、DNS利用、FTP利用、Linux/Unix利用、郵件利用、網(wǎng)絡設備利用、其他主機利用、Telnet利用、TCP劫持、Web利用、Windows利用違反組織安全策略被禁止的HTTP訪問、被禁止的Telnet/SSH訪問、聊天和即時通訊、被禁止的流內(nèi)容、其他外部IP訪問、被禁止的應用訪問、被禁止的FTP訪問、過量的Internet訪問、可疑的郵件內(nèi)容和附件、可疑的內(nèi)部網(wǎng)絡活動、被禁止的軟件安裝密碼猜測攻擊POP3口令猜測、Windows口令猜測、UNIX口令猜測、應用軟件口令猜測環(huán)境威脅供電中斷、通信中斷、設備故障、靜電、電磁干擾、溫度變化、數(shù)據(jù)存儲介質(zhì)損壞人為誤操作未經(jīng)授權(quán)進行數(shù)據(jù)拷貝或盜取數(shù)據(jù)、無意中對數(shù)據(jù)操作、未經(jīng)授權(quán)將IT系統(tǒng)連接到其他網(wǎng)絡預置場景列表（12大類120個場景560條規(guī)則）分類場漏洞掃描工具

安全管理平臺網(wǎng)絡設備：應用系統(tǒng)：操作系統(tǒng)：網(wǎng)絡TXT/XML等格式1.手動交換方式2.自動傳遞方式與漏洞掃描系統(tǒng)的整合漏洞掃描工具安全管理平臺網(wǎng)絡設備：應用系統(tǒng)：操支持的響應方式主要有:命令行告警輔助決策聯(lián)動命令陷阱導入交換機端口啟用、禁用操作防火墻阻斷發(fā)送郵件鈴聲告警SNMPTrap方式告警TopDesk補丁升級TopDesk防火墻阻斷TopPolicy防火墻阻斷聲光報警聲音報警WinPop告警工單處理短消息事件響應管理支持的響應方式主要有:事件響應管理用戶選擇需要輔助決策處理的事件，系統(tǒng)將會自動為其匹配決策，并由用戶決定是否執(zhí)行決策中的響應腳本?；趯＜姨幚淼妮o助決策用戶選擇需要輔助決策處理的事件，系統(tǒng)將會自動為其匹配決策，并文件解析引擎提供數(shù)據(jù)格式的解析安全設備：防火墻、入侵檢測系統(tǒng)、VPN、防病毒軟件、漏洞掃描器、安全審計系統(tǒng)等網(wǎng)絡設備：交換機、路由器等操作系統(tǒng)：WindowsNT/2000/XP/2003操作系統(tǒng)、主流Linux系統(tǒng)、主流Unix系統(tǒng)等應用系統(tǒng)：Web（apache、iis）、Ftp（iis）、Mail（exchange）、DBMS（Oracle、SQLServer、DB2、Informix、Sybase）等其他任何支持標準SYSLOG、WELF、SNMP（v2、v3）等日志格式的設備和系統(tǒng)通過flexer標記語言可快速提供對未知設備日志格式的支持，不需要修改程序代碼

總結(jié)：目前TSM可以收集業(yè)內(nèi)110種日志格式，對于不能夠支持的設備，可以在5個工作日內(nèi)定制開發(fā)完成。數(shù)據(jù)文件解析引擎文件解析引擎提供數(shù)據(jù)格式的解析數(shù)據(jù)文件解析引擎訪問和身份管理

IBMTivoliAccessManager

IBMTivoliIdentityManagerMicrosoftActiveDirectoryCAeTrustAccessCAeTrustSecureProxyServerCAeTrustSiteminder(Netegrity)RSASecureIDRADIUSOracleIdentityManagement(Oblix)SunJavaSystemDirectoryServerCiscoACS路由器/交換機思科路由器交換設備華為路由器交換設備中興路由器交換設備CiscoCatalyst交換機

Foundry交換機JuniperJunOSNortel以太網(wǎng)路由交換機8300,8600,400系列操作系統(tǒng)日志、日志記錄平臺Solaris(Sun)*AIX(IBM)OS/400(ISeries)RedHatLinuxSuSELinuxHP/UXMicrosoftWindowsEventLog(W2K3DHCP,W2KDHCP,IIS)MicrosoftSNMPTrapSenderNokiaIPSONovellNetWareOpenBSDTandemNon-StopOS(HP)Tru64TripplightUPSMonitorwareSYSLOGKiwiSyslogzOS-MainframeIDS防病毒CipherTrustIronMailMcAfeeVirusScanNortonAntiVirus(Symantec)McAfeeePOTrendMicroInterScan網(wǎng)絡入侵檢測/防護天融信\啟明星辰金諾網(wǎng)安McAfeeIntrushieldSourcefireNetworkSensorSourcefireRNAJuniperIDPISSRealSecureNetworkSensorISSProventiaGISSProventiaMISSBlackICESentryCiscoSecureIDSSNORTIDS應用ApacheMicrosoftIISIBMWebSphere

OracleDatabaseServerLotusDominoSAPR3應用安全性BlueCoatProxyNortelITM(智能流量管理)TerosAPSSentrywareHive

IBMDataPower(即將面市)防火墻天融信聯(lián)想網(wǎng)御網(wǎng)御神州CheckPointFirewall-1CiscoPIXFortinetFortiGateJuniper(Netscreen)LinuxIPTablesMicrosoftISAServerNortelSwitchedFirewallStonesoft'sStoneGateSecureComputing'sSidewinderSymantec'sEnterpriseFirewall安全漏洞評估綠盟啟明星辰榕基NessusISSInternetScannerFoundstone

支持超過

110多個事件的日志格式訪問和身份管理

IBMTivoliAccessMana系統(tǒng)能夠通過直觀、友好的網(wǎng)絡管理界面，可以實現(xiàn)對網(wǎng)絡中的設備、主機、應用系統(tǒng)等方面的綜合管理與監(jiān)控。主要包括網(wǎng)絡設備自動發(fā)現(xiàn)、拓撲管理、視圖管理、性能管理、資產(chǎn)管理等功能。網(wǎng)絡管理系統(tǒng)能夠通過直觀、友好的網(wǎng)絡管理界面，可以實現(xiàn)對網(wǎng)絡中的設備網(wǎng)絡管理可以對掃描到的所有網(wǎng)絡設備進行管理，包括IP地址、端口、鏈路、VLAN、數(shù)據(jù)統(tǒng)計等。網(wǎng)絡管理——資源監(jiān)控網(wǎng)絡管理可以對掃描到的所有網(wǎng)絡設備進行管理，包括IP地址、端性能管理主要包括門限閥值設置、鏈路檢測設置、告警管理等。網(wǎng)絡管理——性能監(jiān)控性能管理主要包括門限閥值設置、鏈路檢測設置、告警管理等。網(wǎng)絡內(nèi)網(wǎng)合規(guī)性管理終端安全管理IT資產(chǎn)管理集中策略管理終端行為監(jiān)管終端遠程監(jiān)控網(wǎng)絡準入非法內(nèi)聯(lián)監(jiān)控補丁管理軟件分發(fā)內(nèi)網(wǎng)合規(guī)性管理終端安全管理IT資產(chǎn)管理集中策略管理終端行為監(jiān)TopAnalyzer系統(tǒng)是一個多用戶系統(tǒng)，允許多個用戶同時登錄、查看或者處理用戶本身權(quán)限范圍內(nèi)可瀏覽到的信息。用戶管理將實現(xiàn)如何配置角色和用戶，以及如何實現(xiàn)對資源的授權(quán)管理。多種角色的支持TopAnalyzer系統(tǒng)是一個多用戶系統(tǒng)，允許多個用戶同時TopAnalyzer系統(tǒng)采用J2EE的體系架構(gòu)設計，可以提供基于B/S架構(gòu)的管理界面，無須用戶安裝客戶端軟件。TopAnalyzer系統(tǒng)的門戶管理系統(tǒng)可以提供基于Https協(xié)議的Web交互管理。TopAnalyzer系統(tǒng)各功能模塊間的通信均可采用SSL加密方式進行數(shù)據(jù)傳輸。提供對系統(tǒng)運行各組件的各種狀態(tài)信息的監(jiān)控。包括：功能模塊、數(shù)據(jù)庫、Agent、系統(tǒng)負荷、系統(tǒng)組件等狀態(tài)的監(jiān)控。系統(tǒng)提供配置信息、原始日志、分析數(shù)據(jù)、報表、分析報告等的手動和自動備份和恢復功能。

平臺安全性設計TopAnalyzer系統(tǒng)采用J2EE的體系架構(gòu)設計，可以提外部接口外部接口題綱SOC背景及基礎(chǔ)TSM安全運營中心TSM系統(tǒng)特點題綱SOC背景及基礎(chǔ)網(wǎng)絡監(jiān)控中心天融信TSM一體化綜合運維管理系統(tǒng)安全監(jiān)控中心桌面管理中心策略管理中心二次開發(fā)能力保證外部接口支持核心目標：以業(yè)務為導向的安全態(tài)勢總覽和安全事件響應特點1特點2一體化綜合運維管理網(wǎng)絡監(jiān)控中心天融信TSM一體化綜合運維管理系統(tǒng)安全監(jiān)控中心桌SyslogSnmpSchedulorCollectorTXTFileCollectorWMIXMLJDBC/ODBC豐富的信息采集方式天融信規(guī)則庫國家測評中心天融信國家級的發(fā)現(xiàn)能力特點4特點3Syslog豐富的信息采集方式天融信規(guī)則庫國家測評中心天融信系統(tǒng)性能強特點6多視角管理與展示處理能力：5000條/秒入庫能力：1000條/秒監(jiān)控人員安全技術(shù)人員領(lǐng)導特點5依角色定制展示信息外包服務商系統(tǒng)性能強特點6多視角管理與展示處理能力：5000條/秒監(jiān)控平臺系統(tǒng)的門戶管理系統(tǒng)可以提供基于Https協(xié)議的Web交互管理。平臺系統(tǒng)各功能模塊間的通信均可采用SSL加密方式進行數(shù)據(jù)傳輸。提供對系統(tǒng)運行各組件的各種狀態(tài)信息的監(jiān)控。包括：功能模塊、數(shù)據(jù)庫、Agent、系統(tǒng)負荷、系統(tǒng)組件等狀態(tài)的監(jiān)控。系統(tǒng)提供配置信息、原始日志、分析數(shù)據(jù)、報表、分析報告等的手動和自動備份和恢復功能。

多重安全機制，保障平臺安全運行特點7平臺系統(tǒng)的門戶管理系統(tǒng)可以提供基于Https協(xié)議的Web交互最佳安全實踐運維保障服務一體化運維管理平臺完整的解決方案特點8最佳安全實踐運維保障服務一體化運維管理平臺完整的解決方案特點持續(xù)服務保障能力平臺項目需要較強的持續(xù)開發(fā)及運維保障能力需要企業(yè)有持續(xù)的服務能力天融信具備這種能力！??！特點9持續(xù)服務保障能力平臺項目需要較強的持續(xù)開發(fā)及運維保障能力特點謝謝！謝謝！謝謝！謝謝！SOC安全運營中心產(chǎn)品介紹課件演講完畢，謝謝觀看！演講完畢，謝謝觀看！首頁天融信SOC安全運營中心介紹高級安全顧問：陶越首頁天融信高級安全顧問：陶越題綱SOC背景及基礎(chǔ)TSM安全運營中心TSM系統(tǒng)特點題綱SOC背景及基礎(chǔ)SOC相關(guān)名詞術(shù)語SOC（SecurityOperatingsCenter）安全運營中心/安全管理平臺SIM（SecurityInformationManagement）安全信息管理SEM（SecurityEventsManagement）安全事件管理SIEM（SecurityInformationandEventsManagement）安全信息與事件管理LM（LogManagement）日志管理SMC（SecurityManagementCenter）安全管理中心MSS（ManagedSecurityService）可管理的安全服務/安全托管服務MSSP（ManagedSecurityServiceProvider）安全托管服務提供商MNS（ManagedNetworkService）可管理的網(wǎng)絡服務/網(wǎng)絡托管服務NOC（NetworkOperatingsCenter）網(wǎng)絡運營中心SOC相關(guān)名詞術(shù)語SOC（SecurityOperatinSOC命名來源于NOC，概念來源于MSS國際一般指SOC是一個中心，有固定的場所，有一個技術(shù)支撐平臺、有大屏幕系統(tǒng)、有組織人員、有一套運營的流程，為第三方提供安全管理服務。國際通行的SOC理念是服務和產(chǎn)品圍繞MSS運營展開的，是支撐MSS的技術(shù)基礎(chǔ)，鮮見以SOC命名的產(chǎn)品國內(nèi)一般指SOC是一個技術(shù)平臺，是一個傳統(tǒng)概念上的成熟安全產(chǎn)品，而不考慮運維，將產(chǎn)品與運營之間的關(guān)系裁剪掉了SOC命名來源于NOC，概念來源于MSSMSSandMSSP為了節(jié)省客戶的相關(guān)安全投入，即客戶將安全外包給MSSP，以小于原投入的資金獲得更加專業(yè)的業(yè)務安全。概念來源于MNS，是相對網(wǎng)絡托管服務提出的安全管理服務全球12大MSSP：AT&TBTIBMIntegralis（專注于歐洲市場）MegaPathPerimeterSavvisSecureWorksSolutionarySymantecVerizonVeriSign（MSS業(yè)務快要賣光了）Gartner（高德納）公司將MSS定義為以下幾類：

防火墻或IPS的監(jiān)視與托管IDS的監(jiān)視與托管

DDOS防護郵件反病毒/反垃圾托管服務防病毒網(wǎng)管托管服務

安全信息管理安全事件管理網(wǎng)絡、服務器或應用的弱點掃描托管

安全弱點或威脅通知服務日志分析托管監(jiān)視/托管設備報告與故障響應報告MSSandMSSP為了節(jié)省客戶的相關(guān)安全投入，即客戶將MSS服務方式MSS服務方式SOC、MSS、MSSP及User間關(guān)系MSSPMSSSOCUserISP應用商安全廠商專業(yè)服務商咨詢商入侵監(jiān)測遠程監(jiān)控漏洞評估事件管理合規(guī)檢測運維報告漏掃系統(tǒng)大屏監(jiān)控事件工具日志工具病毒系統(tǒng)運維人員FirewallIDSIPSAuditAV支撐解決方案建設提供服務產(chǎn)品利用管理系統(tǒng)及服務SOC、MSS、MSSP及User間關(guān)系MSSPMSSSOCSOC產(chǎn)生的背景伴隨MSS的發(fā)展而產(chǎn)生的由ISS（IBM收購）在1998年提出MSS概念1999~2001年ISS先后在全球建立了多個SOC中心1998年CheckPoint推出了CheckPointProvide-1防火墻/VPN集中管理平臺，提供給MSSP實現(xiàn)多臺防火墻的管理2000年Counterpane（BT收購）推出MSS服務，在全美范圍內(nèi)構(gòu)建安全監(jiān)控中心，以此實現(xiàn)MSS服務2001年WatchGuard推出防火墻/VPN狀態(tài)監(jiān)測和日志分析報表系統(tǒng)2001年Symantec改造了圣安東尼奧的SOC中心，超過140名安全專家提供24*7*365的安全管理服務,并且陸續(xù)在全球建有5個SOC中心2000年ArcSight開發(fā)了SIEMS系統(tǒng)，2004年發(fā)布了ESM3.0，Gartner從2005年至2007年的SIEMMagicQuadrant評測分析中，ArcSightESM也是連續(xù)3年保持在領(lǐng)導者位置SOC定位于MSS服務的提供，或開展MSS服務的ISP也是其目標客戶面向普通客戶的主要是SIEM系統(tǒng)SOC產(chǎn)生的背景伴隨MSS的發(fā)展而產(chǎn)生的SOC產(chǎn)生背景（續(xù)）2001年安氏利用ISS的知識將MSS的概念引入中國，并與世紀互聯(lián)簽訂了中國第一份MSS合作協(xié)議與此同時SOC的概念登陸中國，國情不同SOC概念逐漸逐漸被源SOC概念中的工具替代2004年安氏推出了安全運營中心解決方案同年啟明推出了泰合安全運營中心系統(tǒng)同年天融信推出企業(yè)安全平臺（EnterpriseSecurityPlatform）2.0系統(tǒng)，2006年推出TSM3.0近幾年以SOC命名技術(shù)平臺的用法逐漸被安全管理平臺命名方式替代SOC產(chǎn)生背景（續(xù)）2001年安氏利用ISS的知識將MSS的全球SIEMS主流廠商領(lǐng)導研究者參與者挑戰(zhàn)者SIEMS功能定義：標準化整合化關(guān)聯(lián)化分析化全球SIEMS主流廠商領(lǐng)導研究者參與者挑戰(zhàn)者SIEMS功能定SOC市場劃分（國際）ITSIEMMSSSOC服務工具用戶IT系統(tǒng)提供安全托管服務建立安全運營中心MSSPMSSP為提供MSS，需要構(gòu)建服務型的SOCSOC市場劃分（國際）ITSIEMMSSSOC服務工具用戶ISOC市場劃分（中國特色）IT安全管理平臺SIMorSEMandSMCSOC幫助用戶部署服務工具（集成平臺運維服務）用戶IT系統(tǒng)提供產(chǎn)品解決方案有些政府、企業(yè)或組織因為數(shù)據(jù)的私有與機密性等問題，需要自行進行集中的安全管理，需要構(gòu)建自用型的SOC安全廠商未來幾年MSS可能會成為國內(nèi)安全市場的熱點。SOC市場劃分（中國特色）IT安全管理平臺SOC幫助用戶部署SOC技術(shù)SOC是MSS實現(xiàn)的基礎(chǔ)，它的構(gòu)建包括：人員（安全專家）、工具、流程、地點及物理設施（網(wǎng)絡、監(jiān)視屏）等。它提供安全的集中運營，包括安全研究、安全評估、安全策略制定、安全集中監(jiān)視、安全響應、安全設備配置等。國際SOC中采用的技術(shù)是由其MSS業(yè)務決定的，沒有完整的SOC產(chǎn)品，根據(jù)業(yè)務細分產(chǎn)品國內(nèi)目前SOC采用的技術(shù)業(yè)界公認為“安全管理平臺”。它由國內(nèi)安全市場的現(xiàn)狀決定，是一個龐大的系統(tǒng)。它的功能覆蓋了很多細分產(chǎn)品的功能如：SIEM、設備管理、漏洞管理、合規(guī)性及風險管理等。并且有趨勢，變得更加龐大，會整合進更多的安全功能進行集中的安全管理。SOC技術(shù)SOC是MSS實現(xiàn)的基礎(chǔ)，它的構(gòu)建包括：人員（安全國內(nèi)安全管理平臺功能定義定位以資產(chǎn)為核心、以事件管理為關(guān)鍵流程、以風險控制為目標的面向安全的綜合一體化管理平臺系統(tǒng)基本功能資產(chǎn)管理：資產(chǎn)錄入、查詢、修改、屬性管理、統(tǒng)計等事件管理：事件采集、過濾、歸并、關(guān)聯(lián)分析、事件監(jiān)控、查詢、統(tǒng)計等脆弱性管理：弱點采集、資產(chǎn)關(guān)聯(lián)、漏洞查詢、脆弱性統(tǒng)計等風險管理：風險識別、風險計算、風險展示、風險監(jiān)控、風險預警、風險統(tǒng)計等安全知識庫管理：知識庫管理、安全論壇、輔助決策運維管理：工作流管理、工單管理、運營管理、運維統(tǒng)計等延伸功能設備管理：性能管理、配置管理、策略管理等網(wǎng)絡管理：拓撲管理、流量管理、故障管理等應用管理：應用監(jiān)控、應用統(tǒng)計、合規(guī)審計等終端管理：網(wǎng)絡準入、行為管理等ITIL運維：建設呼叫服務臺，提供統(tǒng)一的監(jiān)控運維管理職能

國內(nèi)安全管理平臺功能定義定位國內(nèi)安管平臺現(xiàn)狀近年SOC建設難言成功報出的事件以誤報居多，發(fā)現(xiàn)的風險難以理解自動圖表報表反映的是被誤報嚴重扭曲過的統(tǒng)計結(jié)果全流程的運維管理流程難以符合實際需要雖然建立了SOC系統(tǒng)，但并未建立SOC中心很多業(yè)內(nèi)人士也把SOC比喻成“垃圾電影”但沒人懷疑建設SOC的必要性首要原因是產(chǎn)品沒有正確定位、建設沒有循序漸進國內(nèi)安管平臺現(xiàn)狀近年SOC建設難言成功未來SOC之路安全事件管理是SOC的重中之重網(wǎng)絡管理與安全管理融合是國內(nèi)用戶的切實需求主動防御是日常安全管理的核心面向業(yè)務是未來SOC走出陰影的唯一出路客戶化定制適應不同行業(yè)的管理需求平臺建設是基礎(chǔ)，運營才是SOC的本質(zhì)未來SOC之路安全事件管理是SOC的重中之重題綱SOC背景及基礎(chǔ)

TSM安全運營中心TSM系統(tǒng)特點題綱SOC背景及基礎(chǔ)平臺服務(問題處理)(運維服務/平臺工具)策略與平臺實施(工程實施服務/平臺工具)安全咨詢(風險管理/服務工具)(1)資產(chǎn)(2)評估(5)TA/基于策略的事件管理(3)策略/基線(4)TP/策略執(zhí)行(6)安全業(yè)務服務流程管理(SBSM)(7)安全工作評估與考評KPI持續(xù)改進拓撲監(jiān)控流量監(jiān)控設備監(jiān)控。。。風險管理脆弱性管理事件管理響應管理關(guān)聯(lián)分析輔助決策安全報表訪問控制策略入侵檢測策略病毒過濾策略安全審計策略VPN通道策略資產(chǎn)管理網(wǎng)絡準入非法外聯(lián)行為監(jiān)管。。。網(wǎng)絡監(jiān)控管理TopNoc安全信息管理TopAnalyzer策略統(tǒng)一管理TopPolicy內(nèi)網(wǎng)合規(guī)性TopDeskTSM統(tǒng)一管理、監(jiān)控、調(diào)度服務臺天融信TSM一體化安全運維解決方案(1)(2)(5)(3)(4)TP/(6)安(7)持續(xù)改進拓天融信TSM安全運營中心TSM是安全信息和事件管理平臺，設計用于提高機構(gòu)安全運維部門、安全管理的效力、效率和可視性。

自動匯聚并關(guān)聯(lián)事件、日志和安全漏洞為多廠商環(huán)境提供廣泛的設備支持，包括安全性、網(wǎng)絡、主機和應用以資產(chǎn)為中心的事故識別

自動滿足行業(yè)規(guī)范和規(guī)章制度的要求基于政策方針和規(guī)章制度的行為監(jiān)控與報告最大限度地優(yōu)化安全資源利用率從數(shù)據(jù)收集和關(guān)聯(lián)直到行為和報告，實現(xiàn)安全管理的全程自動化的過程。天融信TSM安全運營中心TSM是安全信息和事件管理平臺，設計確定安全目標和運作模式按計劃進行日常安全保障檢查和審計安全工作和目標實現(xiàn)確保安全工作持續(xù)改進安全目標安全控制要求安全審計和檢查績效考核調(diào)整安全目標日常安全維護事件告警風險確定事件處理和解決報告審計安全監(jiān)控自上而下--目標管理監(jiān)控快速發(fā)現(xiàn)識別和發(fā)現(xiàn)問題自下而上--異常處理問題快速定位事件分析、告警事件快速處理解決安全風險知識有效積累提高風險處理能力安全管理流程的實現(xiàn)確定安全目標和運作模式按計劃進行日常安全保障檢查和審計安全工TSM-Analyzer平臺層次結(jié)構(gòu)TSM-Analyzer平臺層次結(jié)構(gòu)TSM的邏輯架構(gòu)1、TopAnalyzer基于J2EE架構(gòu)開發(fā)，具有極強的開放性、跨平臺與可移植性；2、數(shù)據(jù)庫采用Oracle9i/10g企業(yè)版、sqlserver2005、DB2等。3、支持Window、Linux、AIX等系統(tǒng)的部署代理層服務器展示層TSM的邏輯架構(gòu)1、TopAnalyzer基于J2EE架構(gòu)開面向消息中間件技術(shù)所有的事件在采集后對于所有模塊都是透明的，即可以實現(xiàn)事件分析的同時入庫。把原來審計系統(tǒng)的事后審計轉(zhuǎn)變?yōu)閷崟r的分析。面向消息中間件技術(shù)所有的事件在采集后對于所有模塊都是透明的，綜合監(jiān)控監(jiān)視儀表盤能做什么？——全局動態(tài)展現(xiàn)網(wǎng)絡中安全事件；監(jiān)視儀表盤的特點？——安全運維的窗口；綜合監(jiān)控監(jiān)視儀表盤能做什么？——全局動態(tài)展現(xiàn)網(wǎng)絡中安全事件；資產(chǎn)管理分析和評估資產(chǎn)的風險和價值，并通過對關(guān)鍵資產(chǎn)的實時監(jiān)控，以及對資產(chǎn)所產(chǎn)生的事件進行風險分析和處理,從而維護企業(yè)中各種資產(chǎn)的安全性；資產(chǎn)分類包括:資產(chǎn)類型資產(chǎn)物理位置資產(chǎn)用戶管理資產(chǎn)分組管理資產(chǎn)管理分析和評估資產(chǎn)的風險和價值，并通過對關(guān)鍵資產(chǎn)的實時監(jiān)風險管理風險管理安全事件處理流程EventDatabaseAgentVPNVirusHIDSNIDSFirewallDatabaseRouterSwitchServerKnowledgeDatabaseRawDataInformationKeyInformationActionExpertManager1Manager2AdvisorKnowledgeConsole呼叫中心安全管理員歸一化過濾歸并100萬Events

1萬Events

1百Events

安全事件處理流程AgentVPNVirusHIDSNI事件整合流程RawEventsDenialofServiceWormantivirusNormal/BenignNormalizationandfilteringCorrelateandanalyzeThreatEventssourcesEventcategory表示一個事件過濾冗余處理歸納分類綁定環(huán)境雜亂的事件長短一致顏色分類攻擊場景匹配事件整合流程RawEventsDenialofServ9/10/015：05：29PM，%PIX-6-106015：DenyTCP（noconnection）from8/2182to0/63228flagsSYNRSTPSHACKoninterfaceoutside2001-08-2016:12:56|doldrgn1|dragonserver|40|11711|41|1031|AP|6|Tcp,sp=11711,dp=1031,flags=AP|ProductNameETSIPSPDIPDPLocationDeptservicesOSPIX_FWBeijingFinanceHTTPWIN2000IDSShanghaiMarketSMTPSOLARISPIXFirewall–standardsyslogformatIDS–DataItemsseparatedbypipesEVENTSTableNormalizationBusinessRelevance9/10/015：05：29PM2001-08-2016:12:56

821820632284011711411031安全事件管理——事件標準化9/10/015：05：29PM，系統(tǒng)支持二級過濾功能，大量的噪音數(shù)據(jù)可以在Agent端直接丟棄，在管理服務器端還可以進行進一步的過濾以減少數(shù)據(jù)庫的壓力。所有事件過濾功能都使用SQL92標準組合任意過濾條件，可以使用戶靈活的控制事件過濾條件。安全事件管理——事件過濾系統(tǒng)支持二級過濾功能，大量的噪音數(shù)據(jù)可以在Agent端直接丟基于狀態(tài)機的關(guān)聯(lián)分析S0S1S2E0入侵檢測事件E1FW事件E2DB事件E3web事件E5超時E4FW2事件關(guān)聯(lián)分析引擎實現(xiàn)對來自不同應用、設備、系統(tǒng)等產(chǎn)生的不同類型的事件的實時關(guān)聯(lián)通過使用狀態(tài)機來抽象和描述攻擊的過程與場景，狀態(tài)機間的狀態(tài)轉(zhuǎn)換的條件由不同安全事件觸發(fā)實時關(guān)聯(lián)來自不同設備的安全事件，可以大大的降低IDS的誤報率，發(fā)現(xiàn)引發(fā)安全事件的真正原因和隱藏的威脅。系統(tǒng)不可用Firewall?HOST?DB?WebServer?TSM關(guān)聯(lián)分析主機應用異常導致服務問題S0:正常E0:應用系統(tǒng)異常事件（FromApplicationHost）E1:防火墻異常事件E2:數(shù)據(jù)庫系統(tǒng)異常事件S1:系統(tǒng)部分異常E3:WEB服務異常事件S2:WEBSERVER出現(xiàn)異常E4:狀態(tài)超時由于XX（E0,E1,E2,E3）原因?qū)е碌姆债惓；跔顟B(tài)機的關(guān)聯(lián)分析S0S1S2E0入侵檢測事件E1FW事件關(guān)聯(lián)分析可加速問題定位、提高系統(tǒng)可用性

關(guān)聯(lián)分析可加速問題定位、提高系統(tǒng)可用性 基于規(guī)則的關(guān)聯(lián)分析：將可疑的安全活動場景（暗示某潛在安全攻擊行為的一系列安全事件序列）加以預先定義。系統(tǒng)能夠使用定義好的關(guān)聯(lián)性規(guī)則表達式，對收集到的安全事件進行檢查，確定該事件是否和特定的規(guī)則匹配?；诮y(tǒng)計的關(guān)聯(lián)分析：定義一些大的安全事件類別，對每個類別的事件設定一個合理的閥值，將出現(xiàn)的事件先歸類，然后進行緩存和計數(shù)，當在某一段時間內(nèi)，計數(shù)達到該閥值，可以產(chǎn)生一個級別更高的安全事件?；谫Y產(chǎn)的關(guān)聯(lián)分析：安全事件能與相關(guān)資產(chǎn)的敏感性以及相關(guān)資產(chǎn)上的漏洞進行關(guān)聯(lián)，從而判斷某個安全事件是否能造成不良影響以及造成不良影響的嚴重程度?；趶V義漏洞的關(guān)聯(lián)分析：安全事件能同網(wǎng)段的相應漏洞進行關(guān)聯(lián)，判斷可能造成的不良影響。支持的關(guān)聯(lián)分析類型基于規(guī)則的關(guān)聯(lián)分析：支持的關(guān)聯(lián)分析類型【場景描述】（1）某個攻擊者對某臺主機進行端口掃描(事件來自于安全設備)（2）攻擊者發(fā)現(xiàn)該主機的3389端口（微軟遠程桌面服務）已打開，并通過口令字猜測獲得了該的主機口令（系統(tǒng)事件）；（3）攻擊者登陸上該臺主機，將其重要文件傳送出去（系統(tǒng)事件）Page91端口掃描Port3389isOpen場景規(guī)則【場景描述】Page34端口掃描Port3389is分類場景惡意代碼/病毒類后門攻擊、病毒攻擊、惡意郵件攻擊（附件可能是病毒或木馬）、自動安裝惡意程序、存在可疑軟件可疑程序文件內(nèi)容被防火墻修改、無效命令、可疑數(shù)據(jù)包、可疑活動、可疑的文件擴展名、可以端口活動、可疑路由、未知告警錯誤配置地址變化、應用配置、用戶設置、IP沖突、過載、硬件錯誤、郵件設置、系統(tǒng)啟動、系統(tǒng)設置、系統(tǒng)中斷、系統(tǒng)心跳、服務/進程狀態(tài)變更、軟件安裝、系統(tǒng)失效、系統(tǒng)狀態(tài)嘗試探測嗅探、信息流分析、應用查詢、主機查詢、網(wǎng)絡探察、郵件偵察、Windows偵察、Portmap/RPC請求、端口掃描、RPCDump、DNS偵察拒絕服務攻擊畸形DoS包、洪水攻擊、郵件服務攻擊、應用層拒絕服務欺騙和劫持IP欺騙和偽裝、IP分段、IP片段重疊、信息重放、IDS躲避非授權(quán)訪問認證成功、認證/授權(quán)失敗、FTP訪問、文件訪問、郵件訪問、WEB攻擊、繞過安全機制、網(wǎng)絡訪問中斷、權(quán)限提升、安全協(xié)商、安全策略變更、WEB—IIS非授權(quán)訪問企圖、Telnet訪問、Unix/Linux訪問、Web服務的非授權(quán)訪問企圖、Windows訪問、SNMP訪問應用程序漏洞攻擊緩存溢出攻擊、DNS利用、FTP利用、Linux/Unix利用、郵件利用、網(wǎng)絡設備利用、其他主機利用、Telnet利用、TCP劫持、Web利用、Windows利用違反組織安全策略被禁止的HTTP訪問、被禁止的Telnet/SSH訪問、聊天和即時通訊、被禁止的流內(nèi)容、其他外部IP訪問、被禁止的應用訪問、被禁止的FTP訪問、過量的Internet訪問、可疑的郵件內(nèi)容和附件、可疑的內(nèi)部網(wǎng)絡活動、被禁止的軟件安裝密碼猜測攻擊POP3口令猜測、Windows口令猜測、UNIX口令猜測、應用軟件口令猜測環(huán)境威脅供電中斷、通信中斷、設備故障、靜電、電磁干擾、溫度變化、數(shù)據(jù)存儲介質(zhì)損壞人為誤操作未經(jīng)授權(quán)進行數(shù)據(jù)拷貝或盜取數(shù)據(jù)、無意中對數(shù)據(jù)操作、未經(jīng)授權(quán)將IT系統(tǒng)連接到其他網(wǎng)絡預置場景列表（12大類120個場景560條規(guī)則）分類場漏洞掃描工具

安全管理平臺網(wǎng)絡設備：應用系統(tǒng)：操作系統(tǒng)：網(wǎng)絡TXT/XML等格式1.手動交換方式2.自動傳遞方式與漏洞掃描系統(tǒng)的整合漏洞掃描工具安全管理平臺網(wǎng)絡設備：應用系統(tǒng)：操支持的響應方式主要有:命令行告警輔助決策聯(lián)動命令陷阱導入交換機端口啟用、禁用操作防火墻阻斷發(fā)送郵件鈴聲告警SNMPTrap方式告警TopDesk補丁升級TopDesk防火墻阻斷TopPolicy防火墻阻斷聲光報警聲音報警WinPop告警工單處理短消息事件響應管理支持的響應方式主要有:事件響應管理用戶選擇需要輔助決策處理的事件，系統(tǒng)將會自動為其匹配決策，并由用戶決定是否執(zhí)行決策中的響應腳本?；趯＜姨幚淼妮o助決策用戶選擇需要輔助決策處理的事件，系統(tǒng)將會自動為其匹配決策，并文件解析引擎提供數(shù)據(jù)格式的解析安全設備：防火墻、入侵檢測系統(tǒng)、VPN、防病毒軟件、漏洞掃描器、安全審計系統(tǒng)等網(wǎng)絡設備：交換機、路由器等操作系統(tǒng)：WindowsNT/2000/XP/2003操作系統(tǒng)、主流Linux系統(tǒng)、主流Unix系統(tǒng)等應用系統(tǒng)：Web（apache、iis）、Ftp（iis）、Mail（exchange）、DBMS（Oracle、SQLServer、DB2、Informix、Sybase）等其他任何支持標準SYSLOG、WELF、SNMP（v2、v3）等日志格式的設備和系統(tǒng)通過flexer標記語言可快速提供對未知設備日志格式的支持，不需要修改程序代碼

總結(jié)：目前TSM可以收集業(yè)內(nèi)110種日志格式，對于不能夠支持的設備，可以在5個工作日內(nèi)定制開發(fā)完成。數(shù)據(jù)文件解析引擎文件解析引擎提供數(shù)據(jù)格式的解析數(shù)據(jù)文件解析引擎訪問和身份管理

IBMTivoliAccessManager

IBMTivoliIdentityManagerMicrosoftActiveDirectoryCAeTrustAccessCAeTrustSecureProxyServerCAeTrustSiteminder(Netegrity)RSASecureIDRADIUSOracleIdentityManagement(Oblix)SunJavaSystemDirectoryServerCiscoACS路由器/交換機思科路由器交換設備華為路由器交換設備中興路由器交換設備CiscoCatalyst交換機

Foundry交換機JuniperJunOSNortel以太網(wǎng)路由交換機8300,8600,400系列操作系統(tǒng)日志、日志記錄平臺Solaris(Sun)*AIX(IBM)OS/400(ISeries)RedHatLinuxSuSELinuxHP/UXMicrosoftWindowsEventLog(W2K3DHCP,W2KDHCP,IIS)MicrosoftSNMPTrapSenderNokiaIPSONovellNetWareOpenBSDTandemNon-StopOS(HP)Tru64TripplightUPSMonitorwareSYSLOGKiwiSyslogzOS-MainframeIDS防病毒CipherTrust