2024奇安信网神安全感知与管理平台技术白皮书

PAGE10PAGE1044 TOC\o"1-2"\h\z\u产品概 产品架 业务架 产品功 数据采 组件管 资产管 安全监 事件案 通告预 考核评 检查督 重保指 数据分 态势呈 日志检 平台级 系统配 应用价 全面梳理，切实摸清资产底 持续监控，实时掌握安全状 督办考核，推动网络安全建 深度分析，有效解答威胁原 技术特 灵活的数据接 高性能关联分 多视角安全监 丰富的威胁情 强大的大数据技 产品部署架 -行业版（Z）基于大数据架构自主构建0保护基本要求、计算机信息系统安全保密防护要求及检测评估方法)的要求的指导TSGZ继承了奇安信网神公司长期以来在安全事件管理产品上的丰富经验，同时融合目IT数字化转TSGZ在架构演进过程中，使用了大量新型安全技术，既可以帮助用户发现潜在威胁， !"- GIS服务，!"- 4APIweb为日志、数据库操作日志、智能应用、PCAP状态，集群的负载情况（CPU。KafkaKafkaoffsettopic耗时统计，耗时统计主要统计展现策略处理平均时长top10，节点处理平均时长syslogSNMPWMIVALUEJSONAND、NOTORtypetype=1LogAtype=2LogBIPElasticSearch、Hive、CK数据；查询检索仅针对某一段时间范围内的数据进行查询，对于滑动时间窗口的数据不SQL/Lucene口拉取，支持对字段管理、ESkafkazip服务监测对支撑服务的组件进行健康状况监测，包括metrics、bigplorer、3、节点管理对支撑服务的所有节点进行性能监控与每个节点安装的服务组件进行统4flume（实时数据接入服务、sqoop（批量数据接入服务、hbase(分布式nosql数据库)、产总数、软件资产总数、ipip个数统计、待明确资产总数统计。2发现数据的基本信息包括发现时间、ip地址、发现源、疑似所属单位资产发现数据列表，支持按照发现时间、ip地址、疑似所属单位、状态搜索发现5、IDCIDCIDC信息。6、一键搜索，支持多维度（单位名称、资产名称、资产类别、ip、操作系统、域名、100IP，威胁源地理位置、告警次数、最高告警级别；并能够根据攻击源下钻到告警列表。2种方式；告警字段配置支持告警等级、标签、威胁源、受影响资源、告警简介、告警3h5嵌入移动app进行通报处置闭环，比如钉钉，蓝信等；423、安全检查任务（被检查单位功能1包括重保单位的数量以及重保对象的数量，支持查看重保单位的详细信息；支持查看指令下发的历史信息，支持指令的下发；支持查看告警信息，支持展示当天以及重保期间所有的告警信息，支持查看告警的详细信息，支持按告警的处置状态进行统计；支持展示信息详情；支持报送信息的实时滚动展示；支持查看重保组的组织架构，支持查看重保组的详细信息；支持查看重保期间重保单位以及指挥部每日值守的信息，支持查看值守的人员以24715天的告临战阶段，设定驻场人员--建专家队伍--支持添加驻场专家；组建技术支撑团队--支持添加技术支撑人员；建立重保材料；重保方案及应急预案--支持添加并维护重保方案。决战阶段，确定人员分工--4滤，支持推送至大屏;签到规则管理，支持按照最近一次签到统计、按照最近一日签到统计;支持指令创建、下发、查看、跟踪管理;支持对下级单位报送的事件进行统计管理，支持选择事件推送至大屏;支持对重保报告进行管理，支持创建报告，明确任务、报告类型选择、1SSH、RDP、FTP、MSSQL、MYSQL、REDIS、ES、ORACLE协议，判断内网资产（IP:dip）（userIP的地域分布情况。1IP(sip)，IP(dip)，目的端口(dport)，协议类型(proto)，为四元组判断数值相同，连续登录失败超100iptop10统计，爆破ip的地理位置分布情况。TCP流量日志、UDP流量日志进行分析判断、IP地理位置分布情况以及在地图上热力图的方式DGAdns解析日host字段，取出域名（例如：,为域名IP的出现频率。sockstcpsockstcp载荷里sockssocksIP、socksip、IP的出现频率。DNSDNSDNS服务dns服务器响应次数分布情况。agent、uri、data、cookieAWVS、EmpirePowerShell渗透攻击框及对该任务打标签;能够支持卡片和表格两种方式的展示，并能够支持两种方式的切换;能的描述;能够支持对创建的任务进行搜索，支持通过任务创建时间以及任务名称搜索任务，能够支持根据任务名称的关键字进行搜索;能够支持搜索结果的展示，支持按任务卡片或者列表信息进行展示;能够支持删除已经创建的任务，删除前能够进行提示以防止误操作;编IP；型、IP通联关系模型、IP（红色、黄色、绿色）代表高危、中危、资产统计，展示整体管辖范围内的单位、网站、系统、IP的数量，并以统计图表、10103攻击态势：7103034lucene语句搜索，用于专业用户灵活自定义语句进行5"及"排除该条件"选项；查询结果的数据详情，包括键/值和JSON文件；可以在内容列表中Ip地址、logo以及在线状态。2Ip地址、节点名称、在线状态对节点信息进行数据地址、注册时间、在线状态、数据开关，单项节点操作包括删除、详情、编辑操作;添加、logo;址、keylogo，账号、密码;支持对本级节点的数据上报策略进行配置，包括状态1以及分层上下级机构展示管理；添加系统角色，配置管理其可以管理的功能模块，支持编辑、删除或者批量删除已添加的系统角色，可在列表中展凯查看具体角色配置信息；为已系统角色，支持对已创建的用户进行编辑、删除和批量删除；自定义分组名称对具体单位编辑、删除；创建添加可供登录平台对具体用户，可自定义设置姓名、账号、密码、用户量的编辑、删除，以及启用、禁用；对系统菜单进行管理配置，可以自定义菜单名称，以及子菜单归属，并进行添加、编辑、删除、启停，支持按名称进行查询；对设置密码时具2license证书进行查看管理，支持导入导出；查看所DNS和集群，并对网络进行PING的测试；对系统的时间进行联网同步或者自定义时区和系统时间的修改，以及基本信LOGO，地图所属地区配置等。4APPAPP用户，并对其编辑，修改账号、API接口、镜像流量、文件等。的防火墙、IDSWAF告警等，而这些告警的分析确认和处置往往会成为令人头疼的问题。口列表和可访问域名、URL列表等，对告警进行有效降噪。Gar