SOC平台功能分析.pptVIP

RSA Envision 关联预警 审计管理 安全事件管理 行为合规性检测 实时监控 预警（与基线做比较） 基线管理 脆弱性分析集成 竞争对手功能对比表 SOC产品的价值 客户的价值 从众多安全事件中分析网络的安全状况，进行从宏观到微观的展示。 可以定位出安全事件的焦点，可以做到逐步钻取的达到准确定位。 提供给客户一份安全/合规性报告。 是否可以提供深度的事后数据挖掘。 企业内部的价值 为企业的安全产品提供整体的解决方案。 为公司提供和大客户和战略客户合作提供基础 SOC发展方向 实时监控 关联分析 数据智能挖掘 威胁管理 风险管理 等级保护 综合审计 数据存储 TSOC现在的状况 SIMS引擎数据采集分类不合理 功能全，但是不精 产品业务流程混乱 界面的监控显示不突出 报表的内容太苍白 用户的网络安全宏观监控没有 配置部署太复杂 模块化程度不高，产品和定制开发成本高 产品规划目标 短期目标 加强TSOC的市场竞争力(核心功能） 补充从前方来的客户需求 长期目标 立足核心功能，深度发展核心功能 建立架构灵活的SOC产品平台，降低产品和定制开发成本 产品线细分/多样化 在国内的SOC竞争（技术）中应该处于NO.1 产品短期规划（一） TSOC3.0.8.0 引进基线管理，让系统可以在事件、流量方面可以通过学习过程，建立标准区域基准。 通过对比区域基准，来做全局的整体网络安全、流量异常分析展示。 对全局的展示，可以进行数据钻取，从整体→局部→设备→事件 ，来准确定位事件。 增加安全报告，在内容和格式上改进。 改进关联分析子系统。 增加3个分析模块（地址熵、三元组和热点） 核心功能模块和定制开发模块组件化或者模块化 产品短期规划（二） TSOC3.0.9.0 SIMS和SMC的整合 多级管理 引入VWP平台组件 部分功能模块化（主要集中在定制开发模块多的功能） 网络拓扑 产品长期规划（一） 产品架构重新设计，做到灵活可拆分。尽量做到系统可以与WEB服务器无关和数据库系统无关。 做一个产品基础平台-威胁管理 综合监控 基线管理 流量管理 关联分析 知识库 报表 产品长期规划（二） 在产品平台基础上开发风险管理平台 资产管理 风险管理 脆弱性管理 在产品平台基础上开发审计平台 合规性报表 在产品平台的基础上开发等级保护平台 风险域管理 等级保护 网络拓扑 产品的规划 SOC基础平台 威胁管理 TSOC 风险管理 ZSOC 等级保护 ASOC 综合审计 SOC 安全运维 产品路标规划 Platform TSOC、ASOC TSOC3.0.8.0 SIMS定制开发 TSOC3.0.9.0 520项目介绍 520实际上应该是UDS产品的部分功能+综合分析、展示的一个综合体。 520的功能 事件收集、事件策略下发 分析模型（地址熵、三元组、热点传播、联动） 短期态势分析 异常流量、安全状况监控 报表、查询 报送管理 响应管理 谢谢 * * 市场上主流的SOC平台 东软SOC 华三的SecCenter 天融信的Top Analyser TSM 联想网御 安氏 ArcSight ESM Cisco SIMSMARS RSA 产品规划 SOC产品的价值 TSOC的不足 短期和长期规划 东软 SOC架构 数据采集层：根据要求从网络设备、安全设备、主机系统等数据来源采集各种安全信息。 ?数据处理层：将采集到的原始安全信息进行关联分析处理，实现格式标准化，根据策略进行数据归并和压缩后，存储到数据库中。 应用服务层：从数据库中提取信息，按照策略完成数据的过滤、条件分析，为展示平台提供数据支持；同时还是展示平台进行资源配置的接口。 展示平台层：实现NetEye安全运维平台的统一界面展示。通过统一的图形化管理界面，NetEye安全运维平台实现了安全监控、维护、管理、展示的全部功能。 东软 SOC 东软 SOC 资产管理 脆弱性管理 风险管理 安全信息监控 策略管理 工单管理 知识库管理 安全预警 故障信息显示 报表 关联分析 TSOC和东软SOC的比较 优点 不足 安全域管理 资产管理信息丰富 设备控制功能 工作流的功能比较弱 配置比较复杂 关联分析功能的预期效果比较差 SIMS的配置和SMC分离 华三 SecCenter SecCenter的核心价值体现在于其事件关联功能上； 数据采集协议支持：NetStream、NetFlow、CFlow、Syslog、Windows WMI、ODBC 定位于SIEM，不是SOC 华三SecCenter 监控 事件关联分析 网络的拓扑展示 TSOC与华三的比较 优点 不足 风险分析 脆弱性管理 安全域的管理概念 工作流 综合监控的信息不明了 关联分析不足 网络管理能力不足 引擎配置没有整合到SMC中