SOC功能概述.doc

SOC功能概述一、 SOC功能概述功能名称简介内部数据来源外部数据来源接口事件管理安全事件管理主要完成对事件的集中收集、管理和分析。主要的功能包括事件收集、事件集中处理和实时关联分析。事件处理和关联分析主要负责对事件进行标准化、集中存储、合并、关联分析和统计。对于事件的过滤、归并、关联分析， SOC提供了丰富的脚本定义语言，能定义任何符合用户需求的规则。防火墙入侵检测UNIX主机防毒Windows主机网络设备其他安全产品文件方式SNMP trapSyslogODBC网络SOCKETOPSEC 第三方agent漏洞管理漏洞管理实现对扫描任务、扫描报告的定制和查看，可以展现漏洞名称、漏洞影响端口、漏洞严重级别、漏洞相关资产以及漏洞处理的相关措施，为企业安全管理评估加固工作提供详细数据。扫描器XML配置管理配置管理可以提供对系统配置信息的分析和安全基线评估工作，并支持对配置脆弱性信息的自动审核和人工审核功能，从而更全面地记录资产本身存在的脆弱性信息。UINIX主机网络设备Windows主机防火墙telnetSSH变更管理变更管理检查计算机系统的文件、端口、进程等的变化信息，以监控系统的变更状况发现其中的异常，以便及时采取相应措施保护系统安全。变更管理由变更检查、检查报告、任务管理、策略管理组成。UINIX主机网络设备Windows主机防火墙telnetSSH资产管理资产管理主要功能包括对资产信息的维护和业务系统信息的维护，另外还包括对资产的启用/停用、资产口令的设置（主要是为配置管理和变更管理提供登录信息）、资产信息的导入/导出、预备资产的管理、自定义资产属性、资产发现等功能。NMAP扫描器告警管理SOC的首要目标是从海量的攻击事件中，发现正在或将要影响系统、网络或应用的安全问题。以事件告警为例：a)定义事件匹配方向，分为“先源，然后目标，最后设备地址；仅目标地址；仅设备；全部”四种b)定义分析的事件范围，可以通过过滤器设定c)选择是否关联，即是否启用定损关联d)是否要启用告警触发条件，如按名称、级别一分钟达到60条，才产生告警e)设置最终产生的告警名称和级别f)是否要做告警追加，即如果已有此种告警，不产生新的告警，只计数量，告警追加条件包括告警名称、告警规则、严重级别、事件分类、事件子类、事件名称事件管理漏洞管理配置管理变更管理运行状态管理Message风险计算SOC提供了三种风险，它们分别是资产风险、业务系统风险和地域风险。在业务系统和地域风险中，会列出这一区域整体风险概览，包括最近30天告警变化趋势图、告警分类柱状图和最近5条告警列表资产管理告警管理运行状态管理设备状态管理是对SOC内资产运行状态的监控，监控的内容包括可达率、平均响应率、CPU使用率、内存使用率、接口使用率。通过计算评估设备的整体健康值，如果健康值低于一定的值，就产生不同级别的告警，设备健康告警可在统计告警规则中的综合规则设定。考虑到可能无法获取设备运行状态中的某项数据，所以在计算健康值时，可以设定参与计算的运行状态项目。支持SNMP query的UINIX/网络设备/防火墙等SNMP query安全知识管理SOC的知识库包括安全知识、预处理手册和安全公告三部分。知识库既能帮助用户理解各种复杂的安全咨讯，又能向用户提供安全问题的处理建议，同时也是用户重要的学习园地。KPIKPI体系是从日常安全管理需求的角度出发，制定出若干安全信息分析方法，并提供进一步的安全风险等级。KPI是安氏对安全事件分析方法的总结，可以根据用户需求，进行灵活启用和定义。KPI的核心在于以下几个方面：l 从管理需求出发，而非从事件等安全信息出发l 必须得出有效的等级，每个等级对应一个改进措施l 不同类型的事件采用不同的分析方法（即不同KPI计算方法）l KPI适用于资产和业务系统事件管理漏洞管理配置管理变更管理运行状态管理安全预警对系统的预警进行管理，主要提供安全警告信息的存储及发布,包括增加、修改、删除等，也可以对预备预警进行相应的处理，如转正式预警或删除。创建预警后可以短信，邮件等方式通知相关人员。告警管理安全工单SOC建立了内嵌的工作流系统，该系统专门针对安全告警生成工单的处理流程进行跟踪，有效协助问题解决。告警管理报表管理建立了基于web的报表中心，用户可以方便地根据自身需求定制报表；SOC可以按用户的要求，事先生成报表，用户在查看报表时，可以获得极高的响应