SOC平臺功能分析

?市場上主流的SOC平臺
?東軟SOC
?華三的SecCenter
?天融信的Top Analyser & TSM
?聯想網禦
?安氏
?ArcSight ESM
?Cisco SIMS&MARS
?RSA
?產品規劃
?SOC產品的價值
?TSOC的不足
?短時間和長期規劃
 

東軟 SOC架構

 

 
?數據採集層：根據要求從網絡設備、安全設備、主機系統等數據來源採集各類安全信息。
? 數據處理層：將採集到的原始安全信息進行關聯分析處理，實現格式標準化，根據策略進行數據歸併和壓縮後，存儲到數據庫中。
?應用服務層：從數據庫中提取信息，按照策略完成數據的過濾、條件分析，爲展現平臺提供數據支持；同時仍是展現平臺進行資源配置的接口。
?展現平臺層：實現NetEye安全運維平臺的統一界面展現。經過統一的圖形化管理界面，NetEye安全運維平臺實現了安全監控、維護、管理、展現的所有功能。 
 
?資產管理
?脆弱性管理
?風險管理
?安全信息監控
?策略管理
?工單管理
?知識庫管理
?安全預警
?故障信息顯示
?報表
?關聯分析

 

優勢: 
?安全域管理
?資產管理信息豐富
?設備控制功能
  

 不足   
?工做流的功能比較弱
?配置比較複雜
?關聯分析功能的預期效果比較差
?SIMS的配置和SMC分離
 

2、華三 SecCenter：
?SecCenter的核心價值體如今於其事件關聯功能上；
?數據採集協議支持：NetStream、NetFlow、CFlow、Syslog、Windows WMI、ODBC
?定位於SIEM，不是SOC 
?監控
?事件關聯分析
?網絡的拓撲展現

TSOC與華三的比較

  優勢： 
?風險分析
?脆弱性管理
?安全域的管理概念
?工做流
 

不足： 
?綜合監控的信息不明瞭
?關聯分析不足
?網絡管理能力不足
?引擎配置沒有整合到SMC中
?引擎支持的日誌收集格式較少
 

3、天融信 TSM

 
?TSM（Trust Network Security Management System）是天融信新一代網絡安全綜合管理平臺。
?TSM採用代理+服務器+管理器的三層結構。 
?資產管理
?網絡拓撲管理
?策略管理
?監控
?事件智能檢測
?事件分析 
?TopAnalyzer 做爲soc 中心的軟件平臺，以風險管理爲核心，資產管理爲基礎，事件管理爲主線，輔以有效的管理、監視與響應功能，爲用戶構建動態的可信安全管理體系。 
?事件管理
?安全分析與報表
?資產管理
?知識庫
?實時監控
?關聯分析
–基於專家系統的輔助決策系統
–基於規則的安全響應與報警
?全局內風險管理與計算
?工單管理

TSOC和TopAnalyser的比較

 優勢：
?脆弱性管理
?資產信息豐富
?報表內容比較豐富

       不足： 
?實時監控的展現形式不豐富
?關聯分析不足
?引擎配置沒有整合到SMC中
?設備控制相對較弱
?數據庫支持不普遍

5、聯想網禦-安全管理平臺

 
?聯想網禦針對對企業信息安全比較重視的中高端用戶推出的第三代安全管理平臺定位於集中設備監控和全局審計分析，是網絡安全的中樞神經系統，也是聯想網禦信息安全解決方案的核心。  
?設備管理
?設備監控
?告警管理（告警關聯）
?日誌審計
?資產管理
?策略管理（防火牆和×××的策略配置）
?風險管理
?級聯管理（多級）

TSOC與聯想網禦的比較

優勢： 
?脆弱性管理
?安全域的管理概念
?工做流
?豐富的知識庫
?強大的關聯分析功能

不足： 
?引擎配置沒有整合到SMC中
?缺乏日誌審計功能
?缺乏設備策略配置功能
?只有SIMS的多級部署

6、安氏 SOC

 
?資產管理
?風險管理
?脆弱性管理
?工單預警
?統計分析（關聯分析）
?知識庫管理
?指標管理

7、Cisco SIMS

 
?是一個安全信息管理（SIM）應用程序，它可實現與多種不一樣安全產品之間的異種機互操做性，所以可以使網絡管理人員集中監控、管理和監督企業網絡的安全性。
?範式化後的9中事件：
–訪問 / 身份驗證 / 受權
–應用程序盜用
–配置 / 系統狀態
–拒絕服務
–躲避
–違反政策
–偵察企圖
–未知 / 可疑
–病毒 / 特洛伊***
 
?風險和威脅分析評估
?監控
?事件響應管理
?多級關聯
?知識庫 
?CS-MARS:(Cisco Security Monitoring, Analysis and Responder System)
?定義了事件被處理的流程（8個步驟）
?充分利用了網絡拓撲的屬性，來減小誤報、發現網絡熱點、找到最佳防護點和提升證據分析能力 
?智能網絡拓撲發現
?事件進程化管理
?風險關聯分析
?流量異常分析
?誤報分析
?安全預警與響應
?脆弱性評估
?報表

 

8、Arcsight ESM

 

ArcSight 體系結構：可知足世界上規模最大的、安全性能要求最高的網絡的須要

–ArcSight ESM 的擴展不只限於單級部署，多級和對等方式部署也可以很好的進行擴展。所以，您能夠採用最適合您企業的方式進行部署，不管是部署單個安全營運中心 (SOC)，仍是部署地理位置分散、相互間必須不斷共享信息的多個安全營運中心。 

 
?事件監控
?響應處理
?智能關聯
?合規性報告
?多級部署
?支持Discovery分析工具
 

8、RSA Envision

 
?關聯預警
?審計管理
?安全事件管理
?行爲合規性檢測
?實時監控
?預警（與基線作比較）
?基線管理
?脆弱性分析集成
 

9、競爭對手功能對比表 

 

 

 
10、SOC產品的價值
 
?客戶的價值
–從衆多安全事件中分析網絡的安全情況，進行從宏觀到微觀的展現。
–能夠定位出安全事件的焦點，能夠作到逐步鑽取的達到準肯定位。
–提供給客戶一份安全/合規性報告。
–是否能夠提供深度的過後數據挖掘。
?企業內部的價值
–爲企業的安全產品提供總體的解決方案。
–爲公司提供和大客戶和戰略客戶合做提供基礎 

 
11、SOC發展方向

?實時監控
?關聯分析
?數據智能挖掘
?威脅管理
?風險管理
?等級保護
?綜合審計
?數據存儲

 
12、TSOC如今的情況
 
?SIMS引擎數據採集分類不合理
?功能全，可是不精
?產品業務流程混亂
?界面的監控顯示不突出
?報表的內容太蒼白
?用戶的網絡安全宏觀監控沒有
?配置部署太複雜
?模塊化程度不高，產品和定製開發成本高

 
十3、產品規劃目標
 
?短時間目標
–增強TSOC的市場競爭力(核心功能）
–補充從前方來的客戶需求
?長期目標
–立足核心功能，深度發展核心功能
–創建架構靈活的SOC產品平臺，下降產品和定製開發成本
–產品線細分/多樣化
–在國內的SOC競爭（技術）中應該處於NO.1
 

十4、  產品短時間規劃 
?TSOC3.0.8.0
–引進基線管理，讓系統能夠在事件、流量方面能夠經過學習過程，創建標準區域基準。
–經過對比區域基準，來作全局的總體網絡安全、流量異常分析展現。
–對全局的展現，能夠進行數據鑽取，從總體→局部→設備→事件 ，來準肯定位事件。
–增長安全報告，在內容和格式上改進。
–改進關聯分析子系統。
–增長3個分析模塊（地址熵、三元組和熱點）
–核心功能模塊和定製開發模塊組件化或者模塊化
 
?TSOC3.0.9.0
–SIMS和SMC的整合
–多級管理
–引入VWP平臺組件
–部分功能模塊化（主要集中在定製開發模塊多的功能）
–網絡拓撲 
 
十5、產品長期規劃

 
?產品架構從新設計，作到靈活可拆分。儘可能作到系統能夠與WEB服務器無關和數據庫系統無關。
?作一個產品基礎平臺-威脅管理
–綜合監控
–基線管理
–流量管理
–關聯分析
–知識庫
–報表 

 
?在產品平臺基礎上開發風險管理平臺
–資產管理
–風險管理
–脆弱性管理
?在產品平臺基礎上開發審計平臺
–合規性報表
?在產品平臺的基礎上開發等級保護平臺
–風險域管理
–等級保護
–網絡拓撲

十6、  產品的規劃

 

十7、  520項目介紹

 
?520實際上應該是UDS產品的部分功能+綜合分析、展現的一個綜合體。
?520的功能
–事件收集、事件策略下發
–分析模型（地址熵、三元組、熱點傳播、聯動）
–短時間態勢分析
–異常流量、安全情況監控
–報表、查詢
–報送管理
–響應管理
 

啓明星辰