《网络安全设备原理与应用》 课件 22-25安全感知平台功能说明

安全感知功能说明-资产和报告中心了解资产中心的资产感知和脆弱性感知了解报告中心的安全风险报告和安全告警熟悉联动响应的方式教学目标资产中心报告中心联动响应目录资产中心资产感知资产识别目是STA探针产品的一个重要功能，目的旨在帮助用户梳理资产，识别风险资产（如影子资产），为攻击检测提供辅助等。目前探针主要使用被动识别以及主动识别进行资产识别，被动识别主要根据网络流量镜像到探针，探针根据镜像流量进行内网识别，内网资产梳理；主动识别是探针进行发包主动探测内网资产，再进行数据汇总与分析。平台识别到的资产将定义为内网资产，在为后续识别横向、外连、外部威胁或访问关系定义方向，需要事先定义好内部IP组或者分支IP范围。资产中心资产感知界面资产中心资产感知----受监控内部IP组定义内网的受监控IP范围，用于平台更精准的识别出内网资产，当出现需要修改IP归属地时，也可以使用互联单位IP功能进行配置。资产中心资产感知----业务/服务器业务/服务器与终端，是在配置完成受监控内部IP组后，对应IP范围的IP按照IP属性会自动匹配到业务或者终端中。资产中心资产感知----分支当用户有分支单位时，可以通过IP范围以及设备模式配置分支信息。资产中心资产感知----安全域安全域是将内网划分为多个区域，检测每个区域的安全情况，用于分析区域的安全状况，加强薄弱区域的安全建设。资产中心脆弱性感知脆弱性总览：平台可以通过STA/AF/云眼/云镜以及第三方设备识别出来的漏洞，收集上来进行汇总展示。资产中心脆弱性感知----弱密码弱密码/web明文传输，可以检测出当前网络中使用的弱密码，以及web业务使用http协议将用户名/密码通过明文进行传输。资产中心脆弱性感知----配置风险SIP可通过流量检测到当前业务系统开放的风险端口以及授权配置不当的情况。资产中心报告中心联动响应目录报告中心报告中心包括两部分：安全风险报告：包括自动生成的预设报告以及手动导出的报告，也可以订阅报告，用于汇报，安全运维等方面。安全告警：当检测到安全事件时，会通过邮件或者短信的方式发送告警信息给管理员。报告中心安全告警配置策略后，当平台检测到对应的安全事件，可向管理员发送告警邮箱或短信。资产中心报告中心联动响应目录联动响应联动响应功能的引入：

大家都知道SIP只做为安全事件的检测，无法对检测到的安全问题进行闭环。当前的两类安全问题闭环方式。1、MDR服务，通过购买安全服务，由安服人员对安全问题进行处置闭环（培训中不进行说明）。2、通过与深信服其它产品进行联动，如AF/EDR等，在SIP上下发策略对问题进行处置闭环。联动响应分为三部分1、红线：服务器发起威胁访问，被AF或者STA审计到。2、绿线：AF或者STA将审计到的威胁访问日志上传到SIP，SIP上进行安全事件分析，识别到服务器存在风险。3、黄线：SIP上下发联动策略到AF，通过AF的联动封锁对存在威胁的服务器进行拦截，减少威胁。EDR与AF数据流程类似。联动响应联动端口使用说明AC版本SIP版本功能实现方式端口AC11_XSIP2.5.8及以上版本同步用户信息端口固定为1775、协议为UDP1775AC12.0R5版本+打上定制功能SIP2.5.12及以上版本联动：弹窗提醒、冻结账号https协议7433AC12.0R5版本+打上定制功能SIP3.0.9及以上版本联动：弹窗提醒优化（新增批量上网提醒、新增可配自动上网提醒）https协议7433AC12.0.7以及以上SIP3.0.30及以上版本联动：上网提醒、冻结账号https协议9998AC12.04以及以上SIP3.0.39及以上版本联动：AC对接SIP心跳https协议SIP:7443AF版本SIP版本功能实现方式端口AF7.3.0SIP2.3及以上版本同步日志：同步安全日志https协议4430AF7.5.0SIP2.5.3及以上版本同步日志：同步安全日志https协议4430SIP2.5.8及以上版本联动：封锁联动https协议7743AF8.0.2SIP3.0.2及以上版本同步日志：同步流量审计日志、同步cpu，内存，磁盘网口流量，日志上报认证https协议4430AF8.0.2、AF8.0.5、AF8.0.6打上对应的定制包SIP3.0.2及以上版本联动：联动应用控制策略https协议7743AF8.0.8正式版本SIP3.0.2及以上版本联动：联动应用控制策略https协议7743AF8.0.19正式版本SIP3.0.37及以上版本同步日志：同步blob类型日志https协议4430联动响应联动端口使用说明EDR支持版本SIP支持版本功能实现方式端口EDR2.0SIP2.5.8以及以上同步日志包括：wellshell日志爆破日志僵尸网络日志微隔离日志HTTPS请求7443EDR3.0.2SIP3.0.2以及以上同步日志包括：杀毒日志HTTPS请求7443SIP3.0.2以及以上联动：主机隔离禁止出站禁止入站HTTPS请求443EDR3.2.9SIP3.0.18以及以上联动：同步主机信息一键查杀文件隔离/忽略/信任单项部署HTTPS请求443EDR3.2.9SIP3.0.21以及以上联动：EDR上处理后，SIP产生的安全同步事件变成已处理HTTPS请求443EDR3.2.13SIP3.0.23以及以上联动：解决EDR与SIP之间做了地址转换问题HTTPS请求443EDR3.2.15SIP3.0.39以及以上联动：僵尸网络进程取证HTTPS请求443联动响应仅在接入了深信服NGAF、EDR、AC产品后，实现联动响应。当威胁发生后，可通过联动响应方式快速封锁问题IP或攻击源，主机隔离、病毒查杀，避免势态升级。点击对风险服务器可以选择联动AF和EDR，对于风险终端可以选择联动AF、AC、EDR联动响应仅在接入了深信服NGAF、EDR、AC产品后，实现联动响应。当威胁发生后，可通过联动响应方式快速封锁问题IP或攻击源，主机隔离、病毒查杀，避免势态升级。联动响应可在【更多】->【联动响应】进行联动，或查找已经下发的策略。可以查看已添加的策略，以及联动封锁配置步骤。联动响应可在【更多】->【联动响应】进行联动，或查找已经下发的策略。可以查看已添加的策略，以及联动封锁配置步骤。资产感知的作用联动响应的工作过程总结安全感知平台功能说明-监控和大屏了解安全感知平台的监控中心了解安全感知平台的安全可视教学目标监控中心大屏可视目录监控中心监控中心用途：监控中心用于显现全网的安全事件总览，并呈现存在的主机或安全事件的数据统计情况，并可查看主要功能模块存在问题的top5情况。监控中心接入设备状态综合安全感知业务安全感知终端安全感知威胁感知资产感知安全播报监控中心可通过首页查看接入设备的情况，当发现设备不线时，查看是否网络能接通，或查看是否有数据上传SIP的CPU，内存、磁盘运行情况。监控中心查看设备接入平台的位置：【系统设置】->【设备管理】监控中心设备的运行天数全网安全情况综合评分30天内检测出来的安全事件统计情况需要进行处置的主机数量用于检索追踪风险主机行为近期网络的热点流行事件，标红为当前网络存在监控中心风险服务器的统计情况统计以下四类风险存在的风险主机数量风险等级最高的top5服务器，可点击“更多”查看所有的风险服务器监控中心风险终端的统计情况风险等级最高的top5终端，可点击“更多”查看所有的风险终端监控中心威胁态势可选统计7天或30天的外部威胁、、外连威胁的数量对比情况横向威胁。安全事件统计可选统计7天或30天中全网出现次数最多的top5安全事件。监控中心将服务器配置为业务的总数，可以定义业务是否为核心业务平台上识别到的服务器数量情况业务开放服务TOP5需要进行三周的机器学习得出服务器的行为画像监控中心分为日报、周报、月报，报表只展示在该时间范围内的安全事件，如昨天发生了安全事件当天进行了处置，导出昨天的日报会展示安全事件，今天不再报新的安全事件时日报为空。当报表为空时，可以通过【处置中心】->【安全事件视角】点击“最近发生时间”进行排序，查看周期内是否有安全事件生成。监控中心最近发生的时间监控中心安全检测清单：用于对当前SIP检测出来的安全事件，统计出各类安全事件当前存在多少风险主机，以及处理进度情况如何。监控中心挖矿专项检测：黑客可以通过挖矿获得收益，所以挖矿事件也较多，该功能模块可以对全网出现挖矿的安全事件进行统一展示，检测当前存在挖矿各阶段的主机数量，更直观了解挖矿的安全态势，及时进行处置。监控中心大屏可视目录大屏可视SIP的大屏种类丰富，可以直观的查看到网络中存在的问题。大体可以分为以下几类（一）安全类综合安全态势大屏分支安全态势大屏通报预警大屏安全事件态势大屏网络攻击态势大屏网络攻击态势大屏-3D（需要独显支持）外连风险监控大屏横向威胁监控大屏脆弱性态势大屏大屏可视SIP的大屏种类丰富，可以直观的查看到网络中存在的问题。大体可以分为以下几类（二）访问关系类正常横向访问监控大屏正常外连监控大屏资产&接入设备类资产态势大屏设备运行态势大屏重保类重大活动网络安全指挥调度大屏大屏可视大屏可视大屏用途说明综合安全态势大屏：全局总览整体安全态势，包括“事前”资产态势、脆弱性态势，“事中”攻击态势，以及“事后”安全事件态势等；同时，也能以安全域的视角直观地看清风险所在区域。大屏可视——大屏用途说明大屏用途说明分支安全态势大屏：在多分支单位场景时，直观地、全局地监控各健的安全态势以及排行。大屏可视——大屏用途说明大屏用途说明安全事件态势大屏：监控内网发生安全事件的情况，对近期网络安全行业中发生的风险进行监控。大屏可视——大屏用途说明大屏用途说明网络攻击态势大屏：监控来自外部的攻击，直观展示内部网络在全球范围内面临的攻击威胁，攻击源地理位置、攻击手段，被攻击业务一目了然。大屏可视——大屏用途说明大屏用途说明外连风险监控大屏：监控业务的风险外连情况态势，业务系统对外部发起的攻击、C&C通信、违规访问等。大屏可视——大屏用途说明大屏用途说明横向攻击大屏：监控内部横向的威胁，看清来自内部的威胁，包含内对内的攻击、违规访问、可疑行为、风险访问。大屏可视大屏功能扩展每个大屏可以在“设置”中进行一定程度的自定义，如修改大屏标题，或者增加或减少大屏展示的内容。可以在大屏上实现实时告警功能，当出现安全事件后，会在大屏上出现告警的贴图。若只有一个大屏需要将所有的大屏投放时，可以全貌和大屏轮播投屏，可自定义间隔时间。将鼠标放至大屏上可看到大屏的作用描述，如下一页图：大屏可视安全感知平台监控中心的用途总结。安全感知平台大屏可视的用途总结。总结安全感知平台功能说明-处置中心了解处置中心对风险主机及事件的分析教学目标处置中心目录处置中心安全感知平台最关键的模块，用于查看当前网络中存在的风险主机（服务器、PC终端）以及网络中存在的安全事件。安全感知平台无处置功能，只能分析出当前的网络中存在的问题，需要人工或使用杀软等工具对该模块中的待处置主机进行处置操作，完成安全问题闭环。处置中心处置中心将全网安全问题，通过风险主机（服务器、终端）视角、安全域视角、安全事件视角进行整理。当管理员习惯查看哪些主机存在安全问题时，可以通过风险业务视角或风险终端视角进行查看。当管理员想知道哪个区域安全较薄弱时，可以通过风险安全域视角进行确认。当公司出现了某项安全事件时，如勒索病毒，可以通过安全事件视角进行查找所有中勒索病毒的主机。处置中心风险业务，主要查看待处置服务器处置中心风险终端，主要查看待处置终端处置中心查看安全问题较多的区域处置中心主要查看待处置的事件处置中心风险业务视角举例（一）

如：查看的安全事件。查看服务器的风险等级，5及以上的安全事件建议进行处置，5以下的安全事件建议继续观察。标签为主机存在的安全事件。查看详细的安全事件时，点击服务器IP地址进行查看。点击安全事件，可以查到到更详细的事件举证说明。并可看到处置建议。※对于其它的安全事件，建议可以查看帮助文档中的安全知识库处置中心处置中心处置中心以风险业务视角举例（二）

如：查看的安全事件。查看服务器的风险等级，5及以上的安全事件建议进行处置，5以下的安全事件建议继续观察。标签为主机存在的安全事件。查看详细的安全事件时，点击服务器IP地址进行查看。点击安全事件，可以查到到更详细的事件举证说明。并可看到处置建议。对于其它的安全事件，建议可以查看帮助文档中的安全知识库处置中心处置中心处置中心数据的分析和监控基于NTA技术、利用人工智能分析（南北向与东西向）流量和载荷文件，从而识别异常协议、异常流量、主机异常行为；匹配机制问题：

传统安全设备的判断机制是特征匹配，需要通过异常检测的方式才有可能识别出可疑攻击行为，0day、特种木马、隐蔽通道传输等未知攻击；监控网络流量、资产、设备，建模学习日常网络行为，这样对异常的连接、数据交互、用户变更等可以实现安全可视和追踪。处置中心特权账号冒用异常行为检测越权非法操作违规访问行为内部数据泄露绕过行为检测风险访问行为隐蔽通道检测高级威胁检测新型Webshell未知恶意文件DGA域名检测恶意流量行为可疑邮件行为时间序列分析二类分类多类分类聚类离群点检测DNSflow引擎HTTP

flow引擎SMTP

flow引擎POP3flow引擎IMAPflow引擎文件鉴定引擎ADflow引擎SMBflow引擎机器学习分析引擎场景建模算法集合专家规则异常行为分析建模流量行为用户行为操作行为长周期分析大数据分析原始数据网络行为数据文件Poayload终端行为数据数据的分析和监控处置中心过去：传统的检测手段现在：更智能的检测手段基础：以特征检测为主，收集信息不全面手段：流量识别、威胁及漏洞检测技术基础：以全流量检测为主，收集信息更全面手段：大数据、人工智能、机器学习、UEBAAI已深入应用于：Dns引擎、Http引擎、Netflow引擎、SAVE文件检测引擎检测手段处置中心检测手段----DGA检测处置中心aaaaaaaaaaaaaaaaaaaaaaaaaaaaakna.co.ukaaaaaaaaaaaaaaaaaaaaaaaaaaaaap0y.co.ukAaaaaaaaaaaaaaaaaaaaaaaaaaaaahzu.co.ukXX海油和XX建设股份通过深信服本地安全大脑判定为APT组织“OceanLotu海莲花”

检测手段----APT检测处置中心检测手段----数据泄漏检测处置中心深信服人工智能检测引擎SAVESANGFOR

AI-based

Vanguard

Engine引擎创新人工智能技术，准确检测未知病毒不再依赖传统方法的字节级特征，使用AI技术提取稳定可靠的高层次特征!荣获“2018年度赛可达产品奖”获得了Google认可，加入全球情报联盟VirusTotal，列为第三方引擎。精准处置中心场景比较基于特征库技术的传统引擎基于人工智能的SAVE引擎杀毒能力准确查杀已知，应对变种永远处于追赶状态具有泛化能力，能够查杀病毒变种离线场景不能在线更新病毒库，能力退化快，只能手动更新杀毒能力强，能力退化慢，短期不更新也能应对大部分，不依赖于云端能力带宽成本需要频繁更新特征库，当节点数多，对于企业网络带宽是一个压力模型更新周期慢，每次更新量小，节约带宽成本，不会产生更新带来的网络风暴内存占用特征库匹配需要载入内存，一般需要占用200~300M内存占用小，一般AI模型占用在100M以内（SAVE引擎平均占用内存70M）精准传统引擎与人工智能引擎的比较处置中心平台将事件定义为已失陷、高危、中危、低危、信息，定级说明如下：处置中心SIP对事件通过“失陷确定性”、“威胁等级”两个维度进行定级。失陷确定性：是对主机风险评级的主要指标。威胁等级：是主机对内网或外网造成威胁的评级指标。处置中心失陷确定性：优先查看报的已失陷与高危等级事件，这些事件准确性较高，容易查出问题。对于中危和低危事件，需要进一步的分析排查，去确认事件，需要一定的安全分析能力。威胁等级：威胁等级是风险主机对内网或外网主机发起的攻击行为，如病毒的扩散事件，是对内网有威胁的，肉鸡对互联网发起攻击将会被监管单位进行通报。如下图，是主机对内网发起永恒之蓝漏洞利用攻击，以及对互联网发起数据库扫描攻击，描述了方向。处置中心处置中心的数据分析和监控是通过什么技术实现的？总结安全感知平台功能说明-分析中心熟悉分析中心的分析功能教学目标分析中心目录分析中心分析中心的作用说明：1、分析中心结合了深信服安全感知平台的可视化威胁追捕、溯源分析、情报关联、行为分析等技术提供的可视化数据呈现，展现那些暂未形成安全事件，但存在可疑，或结合业务现状可分析发现存在异常的数据，提供给驻点安全专家，或有一定安全分析能力的运维人员进行分析，从正常现象中挖掘异常。查看主机存在的外部、横向、外连，三个方向的威胁以及访问情况进行分析。对恶意文件以及邮件威胁可以直接查看到。2、对2U的SIP平台还可以使用SIEM与EBA发现更多的主机风险，可以全方位的对安全事件进行识别。分析中心通报说明：1、分析中心包括了外部、横向、外连三个方向的安全与访问关系，并对数据传输中的文件威胁和邮件威胁做出了单向的检测展示。2、对访问情况，平台还将识别其访问次数以及访问流量，并通过机器学习出基线，识别出异常，通过EBA（行为画像）展示。3、若在有第三方操作系统以及第三方设备可以接入到SIP时，会通过SIEM进行关联分析。分析中心分析中心功能介绍威胁分析来自互联网，内网的攻击，包括外部威胁、横向威胁，外连威胁和文件威胁、邮件威胁检测。分析中心分析中心功能介绍访问分析检测互联网，内网主机的访问关系，审计访问行为。日志检索平台审计的安全日志，审计日志以及第三方日志等。情报分析查看当前平台的威胁情报总量，检测到内网存在威胁情报的情况，并可自定义威胁情报以及将误报的情报加入白名单。SIEM分析系统通过接入第三方设备/操作系统日志进行异常行为分析。行为分析（EBA）通报机器学习，建立服务器访问基线，为后续识别出服务器的异常流量以及异常访问等。分析中心威胁分析----外部威胁分析来自互联网的攻击，包括总览、高危攻击、残余攻击、外部风险访问等。快速识别到互联网的攻击，可用于分析入口点。分析中心威胁分析----横向威胁分析来自内网主机的攻击行为，包括横向攻击、违规访问、可疑行为等。分析中心威胁分析----外连威胁分析内网主机主动向互联网发起的攻击行为或异常连接，包括对外攻击，C&C通信，隐蔽通信等。分析中心威胁分析----文件威胁分析STA审计到的文件，上传到SIP通过分析引擎进行识别是否为恶意文件。分析中心威胁分析----邮件威胁分析包括钓鱼邮件、垃圾邮件以及病毒邮件的检测分析。分析中心威胁分析----分析中心是用于更高级的安全事件分析工具，较处置中心，需要更强的安全分析能力。如当在处置中心中发现一台主机的威胁等级为中危、低危时，可以通过分析中心对该主机进行外部、横向、外连等维度的威胁分析。如发现00这台服务器存在一些异常行为但是处置中心为低危，如下图：分析中心低危事件为被互联网远程风险访问，这时还可以通过分析中心进行查找是否存在其它的行为我们在横向可疑行为上发现了该服务器还存在扫描行为，通过人工的方式进一步分析威胁分析分析中心分析中心----访问分析页面图示：分析中心访问分析功能概述横向访问分析通过探针审计横向访问流量分析出服务器流量排行以及内网最活跃的源主机。外连分析识别内网主机访问互联网的情况，分析服务器和终端，是否访问到没有业务的地域行为。外对内业务流量分析审计互联网对DMZ区业务的访问情况，识别出是否有异常的大流量访问或大量的访问次数。可疑DNS分析探针审计到内网主机访问了一些异常的DNS访问请求。访问控制核查配置好需要核查的关系，通过探针进行审计，是否存在该访问关系。分析中心访问分析----访问关系用于分析主机发起的横向或外连的行为，较之前介绍的“正常横向访问监控”、“正常外连监控”更详细。横向连接内网横向访问可以查看被访问服务器的流量情况以及最活跃的源主机情况。分析中心访问分析----对外连接内网主动向互联网发起连接，并区分出服务器与终端。分析中心访问分析----外对内业务流量分析该页面可视对外网开放的业务流量情况，如可视哪些业务访客最多，流量最大，来自于哪些地区的访客。分析中心访问分析----可疑DNS分析访问一些高风险注册地（小国家的地址，如蒙塞拉特岛、萨摩亚等可以自定义）政府单位会关注。分析中心访问分析----访问控制核查该页面通过观察指定的IP（组）之间是否有访问，来核查访问控制策略是否生效。分析中心日志检索是最原始的数据源，其中有安全日志也有审计日志，上述的分析中心模块是已经将日志检索中的日志进行聚合的结果，只在需要分析单条日志时才使用日志检索。日志类型选择用于筛选安全日志，审计日志以及第三方接入设备/操作系统日志，进行分类查询。搜索框可以自定义输入查询的字段，搜索技巧可以查看帮助文档。日志方向在分析日志时，可能有时需要只筛选某个方向上的日志，可以使用此功能。重点/