文本案例讲稿cngate复制VIP

1、CNGate-SIEM安全大数据智能分析平台简介CNGate-SIEM 是专门数据角度出发，提升安全行业打造的综合性数据平台，旨在解决传统单一而分散的安全问题，从大到集中化管理这一层面，做到数据接入、整理、分析、预警、任务下发、资产管理、海量数据备份、历史数据记检索、数据筛查管理、安全态势分析，大屏展示等，极大的解决了安全数据的及时撑控， 海量历史分析，分散数据安全等问题，是大中型企业、数据分析平台。、高校、大型机构首选的安全联合第，通过海量日志收集、结合系统知识库、关联分析、分布式计算，实现全网络安全态势动态感知与实时预警，构建全网络大数据整体解决方案。功能特色CNGate-SIEM 采用分

2、布式部署，多类型接入，能够灵活的对各种日志类型进行统一的接入范化，支持大数据、分布式计算、可扩展数据节点、集中管理、自定义数据展示、海量历史数据，拥有丰富的知识库，支持虚拟化部署、云部署等；SIEM 安全认知模型所有的安全和安全技术都是通过改变风险的某一属性从而达到降低风险的目标，最终保护了我们宝贵的资产！>>资产是需要保护的对象，、服务器、工作站、办公网络、应用系统和数据等；>>漏洞是硬件、或中的缺陷与不足，不直接造成威胁，但可能被环境中的威胁利用；>>威胁是对企业资产潜在损失的不期望，例如、木马和篡改等；资产漏洞威胁风险SIEM 平台基本>>

3、网络资产管理平台：集中管理要保护的资产、脆弱性、可用性资产的情况；>>安全管理平台：管理所有安全产生的原始数据，收集安全数据、关联安全数据、分析安全数据、产生相应的报告；>>安全漏洞扫描平台：主动发现资产>>计分析报告；的各种漏洞、高效的扫描引擎、全面的应用安全检测、多种扫描的适配接入、级统安全实现安全响应平台：安全及时作出响应、消除安全与运维间的间隙、通过和工作流实现响应、提供安全解决方案建议、的复查、实时跟踪问题解决进展和；SIEM 日志通过Syslog、FTP、HTTP等接口，收集网络中各种的安全，如：USG/IPS/IDS/APM流量管理/防DDOS

4、/WEB1.插件式/邮件/木马、防AVS、僵尸网络等扫描系统等；接口：快速支持跟据日志来添加源新，最大程度的连接一切安全相关的与系统；2.支持分布式：多级部署、统一汇总、集中处理；3.集中保存原始日志数据：用于关联分析、事后；SIEM 扫描平台扫描平台，是将安全检测能力进行整合与统一调度执行的平台，依据管理员制定的检测任务，对、主机等对象进行安全检测，检测的结果通过审查验证后发布。将各类第漏洞扫描、应用扫描和人工评估的漏洞整合到一起，形成基于资产的漏洞库，并计算资产的脆弱性。系统能够对新发现的漏洞进行预警通告。1.支持扫描、系统扫描、主机发现、端口扫描、网页检测和网页防篡改；2.支持.跨平台扫

5、描策略统一管理；3.支持扫描任务调度：扫描是防护体系中的检测环节。可手动触发扫描任务，亦可根据任务策略触发。灵活设置扫描范围，扫描深度以及的最大页数。根据定制策略， 也可以自动调度扫描器进行扫描。SIEM 关联分析逻辑关联：根据安全26 13:59:50 5QA-CNGateGate-10: CNGa eGate Traf ic Log: device_ d=QA-CNGateGate-10 start_t s sime= 2001-3-26 13 03:31src=08 dst=192.168 60.65src_port= 5529 dst_p

6、ort=633 service=TCP port 633 po icy_ d=32767 duration=0 sent=0 rcvd= 0 action=DenyMar 26 1 :01:10 5QA-CNGateGate-10: CNGa eGate Traf ic Log: device_ d=QA-CNGateGate-10 start_time= 2001-3-26 13:0 : 7src=08 dst=192.168 60.65src_port= 5532 dst_port=96 service=TCP port 96 po icy_

7、 d=32767 duration=0 sent=0 rcvd= 0 action=DenyMar 26 1 :02:30 5QA-CNGateGate-10: CNGa eGate: User CNGateGate telnet management session from (32: 383) imed out(2001-3-26 13:12 15)Mar 26 1 : 3:03 5QA-CNGateGate-10: CNGa eGate Traf ic Log: device_ d=QA-CNGateGate-10

8、start_time= 2001-3-26 1 : 1 22src=08 dst=192.168 60.65src_port=39629 dst_port=792 service=TCP port 792 po icy_ d=32767 duration=0 sent=0 rcvd= 0 action=Deny之间的逻辑分析有效;资产关联：通过查找安全关联：通过查找安全的的目标的资产是否目标的资产列表，;2012/02/26 13:59:50 WAF攻击 严重6 52012/02/26 1 :05:15 蠕虫病毒 严重20

9、26 22012/02/26 19:32:19 网段扫描 严重05 目标资产是否对敏感，来确认安全的风险值;交叉关联：对不同数据源的安全可信度和风险值;进行交叉认证，从而确认安全的SIEM 安全知识库SIEM 系统架构安全原始管理策略管理资产管理（主机、）知识库管理任务管理（扫描备份）交叉关联引擎安全态势分析引擎扫描平台引擎异步任务分布式平台扫描插件数据泛化数据泛化站点漏扫设备系引统擎管理管理层展示层数据分析层任务调度层接口平台数据呈现扫描安全扫描插件系统漏扫网页漏扫主机发现端口扫描扫描插件系统漏扫网页

10、漏扫主机发现端口扫描任务调度引擎关联引擎关联引擎数据资产漏洞原始关联策略库规则库知识库漏洞分析安全态势安全知识库安全库CVEIP漏洞库代码库信誉库SIEM安全管理平台最为的技术当属“知识库”，从平台的系统、功能架构、外部接口等方面都做了相应的知识库关联考量，我们也是基于“ 知识库”提出了整个安全管理平台的设计方案。知识库是经历经多年安全行业积累而形成的，无论是在知识面广度或是专业深度方面都有大量的数据 积累。其次，我们在知识体系建设上,首先对知识进行梳理，按照元数据安全 感知支撑平台 的标准进行编目和归类，生成可以管理和操作的知识元素库。同时在技术算法上进行不断优化调整，参照业务梳理的成果，按

11、照知识库的组织思路完成对整体安 全 的分析，构建以分布式计算架构为基础的智能检索平台。安全数据挖掘大数据安全分析态势感知算法依托大数据分析引擎 实现安全事务的高效处理随着Hadoop、NoSQL等技术的兴起，BigData大数据的应用逐渐增多与成熟，大数据自身所拥有三个特性：Velocity快速处理、Volume大数据量、Variety支持多类数据格式。大数据的这些天生特性，正可以为网络安全感知能力所服务。首先，多类型数据格式可以使得网络安全感知获得的日志数据，网络与安全设备的日志、网络运行情况、业务与应用的日志等，然后SIEM大数据量与快速处理性能为高速网络流量的深度分析提供了技术支持，可以

12、为高智能模型算法提供计算资源。最后，大数据对异常行为感知也提供了更便利的条件，在异常行为感知的识别过程中，其是对正常业务行为与异常行为进行深度分析，得出未能直接识别或误识别的行为，大数据技术使得在分析过程中能够采用更小的匹配颗粒与更长的匹配时间，从而得出更为准确的分析结果。CNGate-SIEM-BD 大数据版 硬件要求用户提供12台虚拟机或物理服务器，每台虚拟机或物理服务器配置要求：CPU > 4 core内存> 32GDISK >2T-4T 建议采用共享CNGate-SIEM-DB 企业版 硬件要求用户提供2台虚拟机或物理服务器，每台虚拟机或物理服务器配置要求：CPU > 4 core内存：16G- 32GDISK >2T科能腾达（以下科能腾达）是一家成立于2000年的网络公司，17年集 应用范围来稳步发展，秉承“诚信、高效、创新、共赢”的理念，构建以成、研发、销售及服务的业务体系，致力于为客户提供专业优质的为基础、覆盖整体解决方案，公司已覆盖、能源、金融、电信、教育、医疗等诸多行业和知名大型企业。目前已经和多家行业机构，科研院所保持密切与深入合作，从起初的销售型企业逐步发展为创新型技术研发+市场经售的综合性安