案例—招商银行SOC.pdf

案例—招商银行SOC实施 此商业银行此商业银行SOCSOC建设需求建设需求 需要将设备原始日志（Log）保留１年以上。 原始日志需要随时被进行审计。 对系统、网络的异常行为及时发现，并通告。 对系统管理员的异常行为、操作及时发现，并通告。 对非工作时间的异常行为及时通告对非工作时间的异常行为及时通告。 工具采用工具采用 使用使用AArcSiSightht ESMESM && LLogger搭建搭建 ＳＯＣＳＯＣ平台平台 Archive Archiving Engine ArcSightArcSight LoggerLogger AAnallyze Real-Time Correlation Engine & Alert ArcSightArcSight ESMESM 各种日志的收集 各种不同样式的日志收集各种不同样式的日志收集::  防火墙  入侵检检测  SymentecAV  RS6K  Windows Server  Device Lock  Solarwind等。 系统、网络的异常行为、流量发现  扫描、P2P or 木马：怀疑内网某机器在扫描或P2P或中了木马； 系统管理员异常操作和行为  数据下载：非工作时间段数据下载或单次下载超过10M 人员人员、、角色和流程角色和流程 SOC建成后效果 使用Logger将设备的原始日志保存3年，并可以随时检索。 满足人民银行的审计要求满足人民银行的审计要求 实时发现异常行为通过手机立刻告警 对防火墙添加/修改/移除对象、规则全部记录并审计 服务器上插拔硬盘的行为进行短信通告服务器上插拔硬盘的行为进行短信通告 非工作时间从服务器上下载或上传数据的行为出具报表 非工作时间登陆服务器的行为进行短信通知 服务器上插拔硬盘的行为进行短信通告。 发现病毒感染的服务器立刻报警…… SOC建成后对该银行的好处 日志保存满足了人民银行的审计要求 对对异常的系异常的系统统、网网络络行行为为可以及可以及时时告警告警 对系统管理员的异常行为能够及时发现并通报 减轻了安全管理人员的工作量 能够从海量的日志信息中进行按需统计 真正意真正意义义上的上的77*2424小小时实时时实时安全安全监监控控