SOC安全运营中心产品介绍

首页天融信SOC平安运营中心介绍高级平安参谋：陶越题纲SOC背景及根底TSM平安运营中心TSM系统特点SOC相关名词术语SOC〔SecurityOperatingsCenter〕平安运营中心/平安管理平台SIM〔SecurityInformationManagement〕平安信息管理SEM〔SecurityEventsManagement〕平安事件管理SIEM〔SecurityInformationandEventsManagement〕平安信息与事件管理LM〔LogManagement〕日志管理SMC〔SecurityManagementCenter〕平安管理中心MSS〔ManagedSecurityService〕可管理的平安效劳/平安托管效劳MSSP〔ManagedSecurityServiceProvider〕平安托管效劳提供商MNS〔ManagedNetworkService〕可管理的网络效劳/网络托管效劳NOC〔NetworkOperatingsCenter〕网络运营中心SOC命名来源于NOC，概念来源于MSS国际一般指SOC是一个中心，有固定的场所，有一个技术支撑平台、有大屏幕系统、有组织人员、有一套运营的流程，为第三方提供平安管理效劳。国际通行的SOC理念是效劳和产品围绕MSS运营展开的，是支撑MSS的技术根底，鲜见以SOC命名的产品国内一般指SOC是一个技术平台，是一个传统概念上的成熟平安产品，而不考虑运维，将产品与运营之间的关系裁剪掉了MSSandMSSP为了节省客户的相关平安投入，即客户将平安外包给MSSP，以小于原投入的资金获得更加专业的业务平安。概念来源于MNS，是相对网络托管效劳提出的平安管理效劳全球12大MSSP：AT&TBTIBMIntegralis〔专注于欧洲市场〕MegaPathPerimeterSavvisSecureWorksSolutionarySymantecVerizonVeriSign〔MSS业务快要卖光了〕Gartner〔高德纳〕公司将MSS定义为以下几类：

防火墙或IPS的监视与托管IDS的监视与托管DDOS防护邮件反病毒/反垃圾托管效劳防病毒网管托管效劳平安信息管理平安事件管理网络、效劳器或应用的弱点扫描托管平安弱点或威胁通知效劳日志分析托管监视/托管设备报告与故障响应报告MSS效劳方式SOC、MSS、MSSP及User间关系MSSPMSSSOCUserISP应用商平安厂商专业效劳商咨询商入侵监测远程监控漏洞评估事件管理合规检测运维报告漏扫系统大屏监控事件工具日志工具病毒系统运维人员FirewallIDSIPSAuditAV支撑解决方案建设提供效劳产品利用管理系统及效劳SOC产生的背景伴随MSS的开展而产生的由ISS〔IBM收购〕在1998年提出MSS概念1999~2001年ISS先后在全球建立了多个SOC中心1998年CheckPoint推出了CheckPointProvide-1防火墙/VPN集中管理平台，提供给MSSP实现多台防火墙的管理2000年Counterpane〔BT收购〕推出MSS效劳，在全美范围内构建平安监控中心，以此实现MSS效劳2001年WatchGuard推出防火墙/VPN状态监测和日志分析报表系统2001年Symantec改造了圣安东尼奥的SOC中心，超过140名平安专家提供24*7*365的平安管理效劳,并且陆续在全球建有5个SOC中心2000年ArcSight开发了SIEMS系统，2024年发布了ESM3.0，Gartner从2024年至2024年的SIEMMagicQuadrant评测分析中，ArcSightESM也是连续3年保持在领导者位置SOC定位于MSS效劳的提供，或开展MSS效劳的ISP也是其目标客户面向普通客户的主要是SIEM系统SOC产生背景〔续〕2001年安氏利用ISS的知识将MSS的概念引入中国，并与世纪互联签订了中国第一份MSS合作协议与此同时SOC的概念登陆中国，国情不同SOC概念逐渐逐渐被源SOC概念中的工具替代2024年安氏推出了平安运营中心解决方案同年启明推出了泰合平安运营中心系统同年天融信推出企业平安平台〔EnterpriseSecurityPlatform〕2.0系统，2024年推出TSM3.0近几年以SOC命名技术平台的用法逐渐被平安管理平台命名方式替代全球SIEMS主流厂商领导研究者参与者挑战者SIEMS功能定义：标准化整合化关联化分析化SOC市场划分〔国际〕ITSIEMMSSSOC效劳工具用户IT系统提供平安托管效劳建立平安运营中心MSSPMSSP为提供MSS，需要构建效劳型的SOCSOC市场划分〔中国特色〕IT平安管理平台SIMorSEMandSMCSOC帮助用户部署效劳工具〔集成平台运维效劳〕用户IT系统提供产品解决方案有些政府、企业或组织因为数据的私有与机密性等问题，需要自行进行集中的平安管理，需要构建自用型的SOC平安厂商未来几年MSS可能会成为国内平安市场的热点。SOC技术SOC是MSS实现的根底，它的构建包括：人员〔平安专家〕、工具、流程、地点及物理设施〔网络、监视屏〕等。它提供平安的集中运营，包括平安研究、平安评估、平安策略制定、平安集中监视、平安响应、平安设备配置等。国际SOC中采用的技术是由其MSS业务决定的，没有完整的SOC产品，根据业务细分产品国内目前SOC采用的技术业界公认为“平安管理平台〞。它由国内平安市场的现状决定，是一个庞大的系统。它的功能覆盖了很多细分产品的功能如：SIEM、设备管理、漏洞管理、合规性及风险管理等。并且有趋势，变得更加庞大，会整合进更多的平安功能进行集中的平安管理。国内平安管理平台功能定义定位以资产为核心、以事件管理为关键流程、以风险控制为目标的面向平安的综合一体化管理平台系统根本功能资产管理：资产录入、查询、修改、属性管理、统计等事件管理：事件采集、过滤、归并、关联分析、事件监控、查询、统计等脆弱性管理：弱点采集、资产关联、漏洞查询、脆弱性统计等风险管理：风险识别、风险计算、风险展示、风险监控、风险预警、风险统计等平安知识库管理：知识库管理、平安论坛、辅助决策运维管理：工作流管理、工单管理、运营管理、运维统计等延伸功能设备管理：性能管理、配置管理、策略管理等网络管理：拓扑管理、流量管理、故障管理等应用管理：应用监控、应用统计、合规审计等终端管理：网络准入、行为管理等ITIL运维：建设呼叫效劳台，提供统一的监控运维管理职能

国内安管平台现状近年SOC建设难言成功报出的事件以误报居多，发现的风险难以理解自动图表报表反映的是被误报严重扭曲过的统计结果全流程的运维管理流程难以符合实际需要虽然建立了SOC系统，但并未建立SOC中心很多业内人士也把SOC比喻成“垃圾电影〞但没人疑心建设SOC的必要性首要原因是产品没有正确定位、建设没有循序渐进未来SOC之路平安事件管理是SOC的重中之重网络管理与平安管理融合是国内用户的切实需求主动防御是日常平安管理的核心面向业务是未来SOC走出阴影的唯一出路客户化定制适应不同行业的管理需求平台建设是根底，运营才是SOC的本质题纲SOC背景及根底TSM平安运营中心TSM系统特点平台效劳(问题处理)(运维效劳/平台工具)策略与平台实施(工程实施效劳/平台工具)平安咨询(风险管理/效劳工具)(1)资产(2)评估(5)TA/基于策略的事件管理(3)策略/基线(4)TP/策略执行(6)安全业务服务流程管理(SBSM)(7)平安工作评估与考评KPI持续改进拓扑监控流量监控设备监控。。。风险管理脆弱性管理事件管理响应管理关联分析辅助决策平安报表访问控制策略入侵检测策略病毒过滤策略平安审计策略VPN通道策略资产管理网络准入非法外联行为监管。。。网络监控管理TopNoc平安信息管理TopAnalyzer策略统一管理TopPolicy内网合规性TopDeskTSM统一管理、监控、调度效劳台天融信TSM一体化平安运维解决方案天融信TSM平安运营中心TSM是平安信息和事件管理平台，设计用于提高机构平安运维部门、平安管理的效力、效率和可视性。

自动会聚并关联事件、日志和平安漏洞为多厂商环境提供广泛的设备支持，包括平安性、网络、主机和应用以资产为中心的事故识别自动满足行业标准和规章制度的要求基于政策方针和规章制度的行为监控与报告最大限度地优化平安资源利用率从数据收集和关联直到行为和报告，实现平安管理的全程自动化的过程。确定安全目标和运作模式按方案进行日常平安保障检查和审计平安工作和目标实现确保平安工作持续改进平安目标平安控制要求平安审计和检查绩效考核调整平安目标日常平安维护事件告警风险确定事件处理和解决报告审计平安监控自上而下--目标管理监控快速发现识别和发现问题自下而上--异常处理问题快速定位事件分析、告警事件快速处理解决安全风险知识有效积累提高风险处理能力平安管理流程的实现TSM-Analyzer平台层次结构TSM的逻辑架构1、TopAnalyzer基于J2EE架构开发，具有极强的开放性、跨平台与可移植性；2、数据库采用Oracle9i/10g企业版、sqlserver2024、DB2等。3、支持Window、Linux、AIX等系统的部署代理层效劳器展示层面向消息中间件技术所有的事件在采集后对于所有模块都是透明的，即可以实现事件分析的同时入库。把原来审计系统的事后审计转变为实时的分析。综合监控监视仪表盘能做什么？——全局动态展现网络中平安事件；监视仪表盘的特点？——平安运维的窗口；资产管理分析和评估资产的风险和价值，并通过对关键资产的实时监控，以及对资产所产生的事件进行风险分析和处理,从而维护企业中各种资产的平安性；资产分类包括:资产类型资产物理位置资产用户管理资产分组管理风险管理平安事件处理流程EventDatabaseAgentVPNVirusHIDSNIDSFirewallDatabaseRouterSwitchServerKnowledgeDatabaseRawDataInformationKeyInformationActionExpertManager1Manager2AdvisorKnowledgeConsole呼叫中心平安管理员归一化过滤归并100万Events

1万Events

1百Events

事件整合流程RawEventsDenialofServiceWormantivirusNormal/BenignNormalizationandfilteringCorrelateandanalyzeThreatEventssourcesEventcategory表示一个事件过滤冗余处理归纳分类绑定环境杂乱的事件长短一致颜色分类攻击场景匹配9/10/015：05：29PM，%PIX-6-106015：DenyTCP〔noconnection〕from8/2182to0/63228flagsSYNRSTPSHACKoninterfaceoutside2001-08-2016:12:56|doldrgn1|dragonserver|40|11711|41|1031|AP|6|Tcp,sp=11711,dp=1031,flags=AP|ProductNameETSIPSPDIPDPLocationDeptservicesOSPIX_FWBeijingFinanceHTTPWIN2000IDSShanghaiMarketSMTPSOLARISPIXFirewall–standardsyslogformatIDS–DataItemsseparatedbypipesEVENTSTableNormalizationBusinessRelevance9/10/015：05：29PM2001-08-2016:12:56

821820632284011711411031平安事件管理——事件标准化系统支持二级过滤功能，大量的噪音数据可以在Agent端直接丢弃，在管理效劳器端还可以进行进一步的过滤以减少数据库的压力。所有事件过滤功能都使用SQL92标准组合任意过滤条件，可以使用户灵活的控制事件过滤条件。平安事件管理——事件过滤基于状态机的关联分析S0S1S2E0入侵检测事件E1FW事件E2DB事件E3web事件E5超时E4FW2事件关联分析引擎实现对来自不同应用、设备、系统等产生的不同类型的事件的实时关联通过使用状态机来抽象和描述攻击的过程与场景，状态机间的状态转换的条件由不同平安事件触发实时关联来自不同设备的平安事件，可以大大的降低IDS的误报率，发现引发平安事件的真正原因和隐藏的威胁。系统不可用Firewall?HOST?DB?WebServer?TSM关联分析主机应用异常导致效劳问题S0:正常E0:应用系统异常事件〔FromApplicationHost〕E1:防火墙异常事件E2:数据库系统异常事件S1:系统局部异常E3:WEB效劳异常事件S2:WEBSERVER出现异常E4:状态超时由于XX〔E0,E1,E2,E3〕原因导致的效劳异常关联分析可加速问题定位、提高系统可用性

基于规那么的关联分析：将可疑的平安活动场景〔暗示某潜在平安攻击行为的一系列平安事件序列〕加以预先定义。系统能够使用定义好的关联性规那么表达式，对收集到的平安事件进行检查，确定该事件是否和特定的规那么匹配。基于统计的关联分析：定义一些大的平安事件类别，对每个类别的事件设定一个合理的阀值，将出现的事件先归类，然后进行缓存和计数，当在某一段时间内，计数到达该阀值，可以产生一个级别更高的平安事件。基于资产的关联分析：平安事件能与相关资产的敏感性以及相关资产上的漏洞进行关联，从而判断某个平安事件是否能造成不良影响以及造成不良影响的严重程度。基于广义漏洞的关联分析：平安事件能同网段的相应漏洞进行关联，判断可能造成的不良影响。支持的关联分析类型【场景描述】〔1〕某个攻击者对某台主机进行端口扫描(事件来自于平安设备)〔2〕攻击者发现该主机的3389端口〔微软远程桌面效劳〕已翻开，并通过口令字猜测获得了该的主机口令〔系统事件〕；〔3〕攻击者登陆上该台主机，将其重要文件传送出去〔系统事件〕Page34端口扫描Port3389isOpen场景规那么分类场景恶意代码/病毒类后门攻击、病毒攻击、恶意邮件攻击（附件可能是病毒或木马）、自动安装恶意程序、存在可疑软件可疑程序文件内容被防火墙修改、无效命令、可疑数据包、可疑活动、可疑的文件扩展名、可以端口活动、可疑路由、未知告警错误配置地址变化、应用配置、用户设置、IP冲突、过载、硬件错误、邮件设置、系统启动、系统设置、系统中断、系统心跳、服务/进程状态变更、软件安装、系统失效、系统状态尝试探测嗅探、信息流分析、应用查询、主机查询、网络探察、邮件侦察、Windows侦察、Portmap/RPC请求、端口扫描、RPCDump、DNS侦察拒绝服务攻击畸形DoS包、洪水攻击、邮件服务攻击、应用层拒绝服务欺骗和劫持IP欺骗和伪装、IP分段、IP片段重叠、信息重放、IDS躲避非授权访问认证成功、认证/授权失败、FTP访问、文件访问、邮件访问、WEB攻击、绕过安全机制、网络访问中断、权限提升、安全协商、安全策略变更、WEB—IIS非授权访问企图、Telnet访问、Unix/Linux访问、Web服务的非授权访问企图、Windows访问、SNMP访问应用程序漏洞攻击缓存溢出攻击、DNS利用、FTP利用、Linux/Unix利用、邮件利用、网络设备利用、其他主机利用、Telnet利用、TCP劫持、Web利用、Windows利用违反组织安全策略被禁止的HTTP访问、被禁止的Telnet/SSH访问、聊天和即时通讯、被禁止的流内容、其他外部IP访问、被禁止的应用访问、被禁止的FTP访问、过量的Internet访问、可疑的邮件内容和附件、可疑的内部网络活动、被禁止的软件安装密码猜测攻击POP3口令猜测、Windows口令猜测、UNIX口令猜测、应用软件口令猜测环境威胁供电中断、通信中断、设备故障、静电、电磁干扰、温度变化、数据存储介质损坏人为误操作未经授权进行数据拷贝或盗取数据、无意中对数据操作、未经授权将IT系统连接到其他网络预置场景列表〔12大类120个场景560条规那么〕漏洞扫描工具

安全管理平台网络设备：应用系统：操作系统：网络TXT/XML等格式1.手动交换方式2.自动传递方式与漏洞扫描系统的整合支持的响应方式主要有:命令行告警辅助决策联动命令陷阱导入交换机端口启用、禁用操作防火墙阻断发送邮件铃声告警SNMPTrap方式告警TopDesk补丁升级TopDesk防火墙阻断TopPolicy防火墙阻断声光报警声音报警WinPop告警工单处理短消息事件响应管理用户选择需要辅助决策处理的事件，系统将会自动为其匹配决策，并由用户决定是否执行决策中的响应脚本。基于专家处理的辅助决策文件解析引擎提供数据格式的解析平安设备：防火墙、入侵检测系统、VPN、防病毒软件、漏洞扫描器、平安审计系统等网络设备：交换机、路由器等操作系统：WindowsNT/2000/XP/2024操作系统、主流Linux系统、主流Unix系统等应用系统：Web〔apache、iis〕、Ftp〔iis〕、Mail〔exchange〕、DBMS〔Oracle、SQLServer、DB2、Informix、Sybase〕等其他任何支持标准SYSLOG、WELF、SNMP〔v2、v3〕等日志格式的设备和系统通过flexer标记语言可快速提供对未知设备日志格式的支持，不需要修改程序代码总结：目前TSM可以收集业内110种日志格式，对于不能够支持的设备，可以在5个工作日内定制开发完成。数据文件解析引擎访问和身份管理

IBMTivoliAccessManager

IBMTivoliIdentityManagerMicrosoftActiveDirectoryCAeTrustAccessCAeTrustSecureProxyServerCAeTrustSiteminder(Netegrity)RSASecureIDRADIUSOracleIdentityManagement(Oblix)SunJavaSystemDirectoryServerCiscoACS路由器/交换机思科路由器交换设备华为路由器交换设备中兴路由器交换设备CiscoCatalyst交换机

Foundry交换机JuniperJunOSNortel以太网路由交换机8300,8600,400系列操作系统日志、日志记录平台Solaris(Sun)*AIX(IBM)OS/400(ISeries)RedHatLinuxSuSELinuxHP/UXMicrosoftWindowsEventLog(W2K3DHCP,W2KDHCP,IIS)MicrosoftSNMPTrapSenderNokiaIPSONovellNetWareOpenBSDTandemNon-StopOS(HP)Tru64TripplightUPSMonitorwareSYSLOGKiwiSyslogzOS-MainframeIDS防病毒CipherTrustIronMailMcAfeeVirusScanNortonAntiVirus(Symantec)McAfeeePOTrendMicroInterScan网络入侵检测/防护天融信\启明星辰金诺网安McAfeeIntrushieldSourcefireNetworkSensorSourcefireRNAJuniperIDPISSRealSecureNetworkSensorISSProventiaGISSProventiaMISSBlackICESentryCiscoSecureIDSSNORTIDS应用ApacheMicrosoftIISIBMWebSphere

OracleDatabaseServerLotusDominoSAPR3应用平安性BlueCoatProxyNortelITM(智能流量管理)TerosAPSSentrywareHive

IBMDataPower(即将面市)防火墙天融信联想网御网御神州CheckPointFirewall-1CiscoPIXFortinetFortiGateJuniper(Netscreen)LinuxIPTablesMicrosoftISAServerNortelSwitchedFirewallStonesoft'sStoneGateSecureComputing'sSidewinderSymantec'sEnterpriseFirewall平安漏洞评估绿盟启明星辰榕基NessusISSInternetScannerFoundstone

支持超过

110多个事件的日志格式系统能够通过直观、友好的网络管理界面，可以实现对网络中的设备、主机、应用系统等方面的综合管理与监控。主要包括网络设备自动发现、拓扑管理、视图管理、性能管理、资产管理等功能。网络管理网络管理可以对扫描到的所有网络设备进行管理，包括IP地址、端口、链路、VLAN、数据统计等。网络管理——资源监控性能管理主要包括门限阀值设置、链路检测设置、告警管理等。网络管理——性能监控内网合规性管理终端平安管理IT资产管理集中策略管理终端行为监管终端远程监控网络准入非法内联监控补丁管理软件分发TopAnalyzer系统是一个多用户系统，允许多个用户同时登录、查看或者处理用户本身权限范围内可浏览到的信息。用户管理将实现如何配置角色和用户，以及如何实现对资源的授权管理。多种角色的支持TopAnalyzer系统采用J2EE的体系架构设计，可以提供基于