SOC竞争对手地地分析和规划.ppt

东软 SOC架构 数据采集层：根据要求从网络设备、安全设备、主机系统等数据来源采集各种安全信息。 ?数据处理层：将采集到的原始安全信息进行关联分析处理，实现格式标准化，根据策略进行数据归并和压缩后，存储到数据库中。 应用服务层：从数据库中提取信息，按照策略完成数据的过滤、条件分析，为展示平台提供数据支持；同时还是展示平台进行资源配置的接口。 展示平台层：实现NetEye安全运维平台的统一界面展示。通过统一的图形化管理界面，NetEye安全运维平台实现了安全监控、维护、管理、展示的全部功能。 东软 SOC 东软 SOC 资产管理 脆弱性管理 风险管理 安全信息监控 策略管理 工单管理 知识库管理 安全预警 故障信息显示 报表 关联分析 TSOC和东软SOC的比较 华三 SecCenter SecCenter的核心价值体现在于其事件关联功能上； 数据采集协议支持：NetStream、NetFlow、CFlow、Syslog、Windows WMI、ODBC 定位于SIEM，不是SOC 华三SecCenter 监控 事件关联分析 网络的拓扑展示 TSOC与华三的比较 天融信 TSM TSM（Trust Network Security Management System）是天融信新一代网络安全综合管理平台。 TSM采用代理+服务器+管理器的三层结构。 天融信TSM 资产管理 网络拓扑管理 策略管理 监控 事件智能检测 事件分析 天融信 TopAnalyser TopAnalyzer 作为soc 中心的软件平台，以风险管理为核心，资产管理为基础，事件管理为主线，辅以有效的管理、监视与响应功能，为用户构建动态的可信安全管理体系。 天融信 TopAnalyser 天融信 TopAnalyser 事件管理 安全分析与报表 资产管理 知识库 实时监控 关联分析 基于专家系统的辅助决策系统 基于规则的安全响应与报警 全局内风险管理与计算 工单管理 TSOC和TopAnalyser的比较 联想网御-安全管理平台 联想网御针对对企业信息安全比较重视的中高端用户推出的第三代安全管理平台定位于集中设备监控和全局审计分析，是网络安全的中枢神经系统，也是联想网御信息安全解决方案的核心。 联想网御-安全管理平台 联想网御-安全管理平台 联想网御-安全管理平台 设备管理 设备监控 告警管理（告警关联） 日志审计 资产管理 策略管理（防火墙和VPN的策略配置） 风险管理 级联管理（多级） TSOC与联想网御的比较 安氏 SOC 资产管理 风险管理 脆弱性管理 工单预警 统计分析（关联分析） 知识库管理 指标管理 Cisco SIMS 是一个安全信息管理（SIM）应用程序，它可实现与多种不同安全产品之间的异种机互操作性，因此可使网络管理人员集中监控、管理和监督企业网络的安全性。 范式化后的9中事件： 访问 / 身份验证 / 授权 应用程序盗用 配置 / 系统状态 拒绝服务 躲避 违反政策 侦察企图 未知 / 可疑 病毒 / 特洛伊木马 Cisco SIMS 风险和威胁分析评估 监控 事件响应管理 多级关联 知识库 Cisco CS-MARS CS-MARS:(Cisco Security Monitoring, Analysis and Responder System) 定义了事件被处理的流程（8个步骤） 充分利用了网络拓扑的属性，来减少误报、发现网络热点、找到最佳防御点和提高证据分析能力 Cisco CS-MARS 智能网络拓扑发现 事件进程化管理 风险关联分析 流量异常分析 误报分析 安全预警与响应 脆弱性评估 报表 Arcsight ESM Arcsight ESM ArcSight 体系结构：可满足世界上规模最大的、安全性能要求最高的网络的需要 ArcSight ESM 的扩展不仅限于单级部署，多级和对等方式部署也能够很好的进行扩展。因此，您可以采用最适合您企业的方式进行部署，无论是部署单个安全营运中心 (SOC)，还是部署地理位置分散、相互间必须不断共享信息的多个安全营运中心。 Arcsight ESM 事件监控 响应处理 智能关联 合规性报告 多级部署 支持Discovery分析工具 RSA Envision RSA Envision 关联预警 审计管理 安全事件管理 行为合规性检测 实时监控 预警（与基线做比较） 基线管理 脆弱性分析集成 竞争对手功能对比表 SOC产品的价值 客户的价值 从众多安全事件中分析网络的安全状况，进行从宏观到微观的展示。 可以定位出安全事件的焦点，可以做到逐步钻取的达到准确定位。 提供给客户一份安全/合规性报告。 是否可以提供深度的事后数据挖掘。 企业内部的价值 为企业的安全产品提供整体的解决方案。