客户名-凌警云安全服务方案.doc

南凌凌警?云安全服务 服务方案 发布版本：v1.0 发布日期：2015-12-18 保密须知 一、项目总结 这份方案描述的是南凌科技有限公司（以下简称“南凌科技”）在答复xxx公司（以下简称“xxx”）所有安全服务相关的需求，南凌科技提供凌警?云安全服务，为xxx提供信息安全事件监控、7*24 小时日志分析、事件管理、告警及月度分析报告。 为了检测和减轻在xxx网络环境里的任何潜在信息安全攻击，凌警?云安全服务将监控xxx网络里的相关设备，并且对其事件进行分析、关联和聚合。这项服务将帮助xxx确认潜在的风险是否被识别为真正的威胁并通知给xxx。如果有安全事件发生， 凌警?云安全服务会给xxx提供告警，同时包括通知和建议，xxx可以处理安全事件并且及时的阻止入侵以减少对业务的影响。 此外，凌警?云安全服务月度分析报告为xxx IT管理、信息安全团队、IT利益相关者和审计员提供全面的信息，包括执行总结、全部事件的分析、信息安全事件报告和月度趋势分析。 服务范围是基于最初和xxx讨论得到的目标，和考虑到我们在信息安全监控和事故管理的最佳实践等方面的知识而制定的。 本方案详细的服务内容交付包括： 通过被监控的设备的日志收集、分析、关联和聚合，提供潜在信息安全事件发生时的告警和报告，帮助xxx降低相关风险并且加强将来的防御能力。 二、目标 该服务的目标是满足信息安全事件监控和分析、事故告警和报告等相关行业标准的最佳实践。该服务帮助xxx确定被识别的潜在信息安全事件是否真正的威胁。 三、建议服务概述 凌警?云安全服务 四、职责范围 南凌科技南凌科技 南凌科技 持续的威胁分析是基于收集客户的应用和系统的事件日志进行的。从SOC或者客户方面更新的威胁分析信息会实时或者定期的放在凌警?云安全服务门户网站上。门户网站还可以被用于实时的威胁和事件升级的作用。 凌警?云安全服务: 事件收集 关联和过滤 事件分析 告警 安全事件管理和报告 各阶段的详细工作内容如下： 阶段 概述 事件收集 南凌科技凌警?云安全服务将在客户网络环境里部署日志采集器，用于收集被监控系统和应用的日志，南凌科技提供配置指南和建议用于指导客户配置相应的设备以达到日志收集的目的。基于被监控设备的数量，1台或多台本地日志采集器会用于收集日志，然后通过加密通道送回安全运维中心(SOC)。 关联与过滤 凌警?云安全服务将日志进行关联和过滤，重新生成一条新的关联安全事件来代表众多原始事件表示的风险。单独的观察某个事件可能是没有危害的，但是如果多个事件被整合在一起进行分析，就能够发现有威胁的特征出现。 事件分析 根据凌警?云安全服务平台规则自动触发的安全风险警报，SOC安全工程师会对此警报进行分析，并核实此事件是否会影响客户系统。 告警 对于每个安全风险警报我们会建立一个内部案例并自动发送告警邮件通知客户，由SOC安全工程师进行跟踪和处理。如遇到紧急事件客户可以致电联系客服升级，再由我们的安全专家提供给客户相应的建议。 安全事件处理流程有7个步骤用于安全事件响应： 告警创建 告警通知 接受告警 处理事件 升级告警 CS协调 告警关闭 安全事件管理和报告 南凌科技凌警?云安全服务门户网站 用户可以7*24*365 访问凌警?云安全服务门户网站。网站提供的被监控的应用和系统的信息包括如下内容： 接入设备的原始事件统计 关联安全事件分类统计 告警事件的统计和详情（事件追溯） 南凌科技凌警?云安全服务月度报告专门为用户管理层、IT利益相关者和审计员定制，报告提供以下信息： 安全概述； 月度关联安全事件统计； 月度关联安全事件Top10的攻击和目标主机； 月度关联安全事件分类统计； 告警案例的信息列表 六、服务范围 该服务范围的定义基于南凌科技的理解和xxx公司的讨论形成的目标。 被监控设备的位置 广州 被监控设备的数量 3 被监控的设备： 防火墙 入侵防御系统 2 个设备，防火墙 2台Juniper isg 1000 Screen os 6.2.0 r5.0 1台设备，基于网络入侵防御系统 McAfee M-2950 南凌科技总共提供给xxx公司____个 日志源的凌警?云安全服务，内容包括： 7X24小时，信息安全事件监控和分析 信息安全事件管理，告警 告警模式：通过南凌科技SOC发送邮件或者电话通知 初步响应：30分钟内 初步建议：90分钟内 信息安全事件管理，报告 凌警?云安全服务月度报告，包括当月发生的安全事件以及趋势分析，通过邮件发送； 门户网站访问 提供3个帐户访问凌警?云安全服务门户网站 提供一次性服务配置 一次性服务配置内容 南凌科技: 指定的项目经理提供服务 在客户现场建立、配置和安装南凌科技日志采集器 提供文档和协助客户连