SOC安全管理平台解决方案.ppt

数据采集－Linktrust network Defender LND Agent Agent Manager LND Manager SQL Server2000 ODBC Intel 1CPU 1G内存 100G硬盘 LND Sensor LND Sensor LND Sensor 议程 企业安全管理存在的主要问题 安氏安全管理中心解决方案概述 安氏安全管理中心解决方案的主要模块 配置建议 安氏安全管理中心解决方案优势 优势概述 国内唯一有成功案例的供应商 专门的SOC研发队伍 强大的智能处理引擎 全面的安全产品即插即用支持 其他优势 国内唯一有成功案例的供应商 江苏移动 浙江电信 中信集团 平安保险 浙江移动 北京电信 江苏电信 安氏公司研发体系简介 安氏安全实验室（STForce – Security Technical Force） －国内最早的安全实验室，专业的安全研究和跟踪 安全产品和软件项目开发 强有力的研发队伍（全公司约160人） 完善的软件工程规范：适合公司的一整套软件工程规范 以SW-CMM1.1版提出的SW-CMM框架为参考 符合ISO9000质量保证体系 吸取Team Software Process（TSP 小组软件过程）、Extreme Programming（XP 极限编程）等其他开发过程的长处研发 目标：“规范、简明、准确、反馈” 专门的SOC研发队伍 在南京建立专门的SOC研发中心 目前组建50人的专门soc研发队伍 目前组建4～5人专门实施和支持队伍 2004年6月推出全新的SOC2.0 基于公司已经建立的研发规范和流程 全公司共享的配置管理、测试和QA队伍 ST-FORCE小组提供安全模型和技术方面的技术支持 依托安氏公司强大的服务队伍实现的安全知识的提供和更新 安氏开发管理简介 以需求规格说明为中心（使用Use Case描述软件规格说明） 严格的变更控制（变更控制委员会Change Control Board） 完善的配置管理和版本管理（CVS） 单元测试自动化（CUnit、CppUnit、JUnit） 独立的QA审核 强大的Bug跟踪（StarTeam） 规范的文档输出 每日创建（Nightly Build） 增量形迭代式开发 Real-time Correlation 业界首个实时关联引擎，重点完成实时分析、自动响应和解决 基于内存的数据库技术提高关联速度 125个预先定义的关联规则 根据用户定义的规则，自动，持续地分析遍布整个企业的，格式化的实时的事项数据 可以对任何字段进行关联，没有限制 支持通过Rules Wizard快速生成关联规则 对所有收集到的日志进行关联，只要能收集，就能关联 极高的性能和可扩展性，支持多个规则级同时应用和方便切换 当关联性规则满足时，可以创建incident 对可能的攻击作出及时有效的回应 产生的Correlation Event可以通过实时界面查看，也可以通过报表展示 可以导入和导出Correlation规则，导出后为xml文件格式 Sentinel Console —事项关联 工作原理 从Agent收到事项 Correlation Engine 规则 correlation数据库 Console—事项监视 Sentinel收到数据，correlation Engine按照定义好的规则进行检查，如果发现相关事项，进行记录，达到规则条件，发出correlation事项 事件关联 Correlation rule种类 Watchlist Advanced Watchlist Basic Correlation Advanced Correlation Free rule Language 事件关联 Watchlist 通过向导（Wizard）建立 该correlation 规则允许指定一个文本值，correlation Engine 会在接收到的所有事项的所有的Meta-tag中进行检查 例如：Watchlist能够检查一个黑客的源ip地址，一旦在任何事项的任何位置发现该地址，立即报告并作出对策 事件关联 Advanced Watchlist Advanced Watchlist 和Watchlist类似，但可以允许用户使用Filter进行检查 可以选择一个现有的Filter，也可以创建一个新的Filter 事件关联 Basic Correlation 通过向导（Wizard）建立 可以对一段时间内，满足定义的条件的事项进行计数 例如，可以对同一个源IP地址在五分钟内出现五次进行报告，不管是否来自不同的设备，如防火墙，IDS 事件关联 Advanced Correlation 通过向导（Wizard）建立 不仅具有简单Correlation