SOC竞争对手分析和规划.ppt

SOC平台功能分析研发中心林宝晶 市场上主流的SOC平台东软SOC华三的SecCenter天融信的TopAnalyser TSM联想网御安氏ArcSightESMCiscoSIMS MARSRSA产品规划SOC产品的价值TSOC的不足短期和长期规划 东软SOC架构 数据采集层 根据要求从网络设备 安全设备 主机系统等数据来源采集各种安全信息 数据处理层 将采集到的原始安全信息进行关联分析处理 实现格式标准化 根据策略进行数据归并和压缩后 存储到数据库中 应用服务层 从数据库中提取信息 按照策略完成数据的过滤 条件分析 为展示平台提供数据支持 同时还是展示平台进行资源配置的接口 展示平台层 实现NetEye安全运维平台的统一界面展示 通过统一的图形化管理界面 NetEye安全运维平台实现了安全监控 维护 管理 展示的全部功能 东软SOC 东软SOC 资产管理脆弱性管理风险管理安全信息监控策略管理工单管理知识库管理安全预警故障信息显示报表关联分析 TSOC和东软SOC的比较 华三SecCenter SecCenter的核心价值体现在于其事件关联功能上 数据采集协议支持 NetStream NetFlow CFlow Syslog WindowsWMI ODBC定位于SIEM 不是SOC 华三SecCenter 监控事件关联分析网络的拓扑展示 TSOC与华三的比较 天融信TSM TSM TrustNetworkSecurityManagementSystem 是天融信新一代网络安全综合管理平台 TSM采用代理 服务器 管理器的三层结构 天融信TSM 资产管理网络拓扑管理策略管理监控事件智能检测事件分析 天融信TopAnalyser TopAnalyzer作为soc中心的软件平台 以风险管理为核心 资产管理为基础 事件管理为主线 辅以有效的管理 监视与响应功能 为用户构建动态的可信安全管理体系 天融信TopAnalyser 天融信TopAnalyser 事件管理安全分析与报表资产管理知识库实时监控关联分析基于专家系统的辅助决策系统基于规则的安全响应与报警全局内风险管理与计算工单管理 TSOC和TopAnalyser的比较 联想网御 安全管理平台 联想网御针对对企业信息安全比较重视的中高端用户推出的第三代安全管理平台定位于集中设备监控和全局审计分析 是网络安全的中枢神经系统 也是联想网御信息安全解决方案的核心 联想网御 安全管理平台 联想网御 安全管理平台 联想网御 安全管理平台 设备管理设备监控告警管理 告警关联 日志审计资产管理策略管理 防火墙和VPN的策略配置 风险管理级联管理 多级 TSOC与联想网御的比较 安氏SOC 资产管理风险管理脆弱性管理工单预警统计分析 关联分析 知识库管理指标管理 CiscoSIMS 是一个安全信息管理 SIM 应用程序 它可实现与多种不同安全产品之间的异种机互操作性 因此可使网络管理人员集中监控 管理和监督企业网络的安全性 范式化后的9中事件 访问 身份验证 授权应用程序盗用配置 系统状态拒绝服务躲避违反政策侦察企图未知 可疑病毒 特洛伊木马 CiscoSIMS 风险和威胁分析评估监控事件响应管理多级关联知识库 CiscoCS MARS CS MARS CiscoSecurityMonitoring AnalysisandResponderSystem 定义了事件被处理的流程 8个步骤 充分利用了网络拓扑的属性 来减少误报 发现网络热点 找到最佳防御点和提高证据分析能力 CiscoCS MARS 智能网络拓扑发现事件进程化管理风险关联分析流量异常分析误报分析安全预警与响应脆弱性评估报表 ArcsightESM ArcsightESM ArcSight体系结构 可满足世界上规模最大的 安全性能要求最高的网络的需要ArcSightESM的扩展不仅限于单级部署 多级和对等方式部署也能够很好的进行扩展 因此 您可以采用最适合您企业的方式进行部署 无论是部署单个安全营运中心 SOC 还是部署地理位置分散 相互间必须不断共享信息的多个安全营运中心 ArcsightESM 事件监控响应处理智能关联合规性报告多级部署支持Discovery分析工具 RSAEnvision RSAEnvision 关联预警审计管理安全事件管理行为合规性检测实时监控预警 与基线做比较 基线管理脆弱性分析集成 竞争对手功能对比表 SOC产品的价值 客户的价值从众多安全事件中分析网络的安全状况 进行从宏观到微观的展示 可以定位出安全事件的焦点 可以做到逐步钻取的达到准确定位 提供给客户一份安全 合规性报告 是否可以提供深度的事后数据挖掘 企业内部的价值为企业的安全产品提供整体的解决方案 为公司提供和大客户和战略客户合作提供基础 SOC发展方向 实时监控关联分析数据智能挖掘威胁管理风险管理等级保护综合审计数据存储 TSOC现在的状况 SIMS引擎数据采集分类不合理功能全 但是不精产品业务流程混乱界面的监控显示不突出报表的内容太苍白用户的网络安全宏观监控没有配置部署太复杂模块化程度不高 产品和定制开发成本高 产品规划目标 短期目标加强TSOC的市场竞争力 核心功能 补充从前方来的客户需求长期目标立足核心功能 深度发展核心功能建立架构灵活的SOC产品平台 降低产品和定制开发成本产品线细分 多样化在国内的SOC竞争 技术 中应该处于NO 1 产品短期规划 一 TSOC3 0 8 0引进基线管理 让系统可以在事件 流量方面可以通过学习过程 建立标准区域基准 通过对比区域基准 来做全局的整体网络安全 流量异常分析展示 对全局的展示 可以进行数据钻取 从整体 局部 设备 事件 来准确定位事件 增加安全报告 在内容和格式上改进 改进关联分析子系统 增加3个分析模块 地址熵 三元组和热点 核心功能模块和定制开发模块组件化或者模块化 产品短期规划 二 TSOC3 0 9 0SIMS和SMC的整合多级管理引入VWP平台组件部分功能模块化 主要集中在定制开发模块多的功能 网络拓扑 产品长期规划 一 产品架构重新设计 做到灵活可拆分 尽量做到系统可以与WEB服务器无关和数据库系统无关 做一个产品基础平台 威胁管理综合监控基线管理流量管理关联分析知识库报表 产品长期规划 二 在产品平台基础上开发风险管理平台资产管理风险管理脆弱性管理在产品平台基础上开发审计平台合规性报表在产品平台的基础上开发等级保护平台风险域管理等级保护网络拓扑 产品的规划 产品路标规划 Platform TSOC ASOC TSO