瀚思大数据智能SOC解决方案.docxVIP

瀚思大数据智能SOC解决方案 2017 年 3月 什么是SOC 2 安全运营现状 安全设备众多、纷繁杂乱、缺少统一管控平台 国家法律、 行业法规、 企业规定 监管要求  海量日志信 息，技术人 力有限  非安全产品也会产生安全相关事件  “救火式”IT 运维，无法快速定位故障及影响范 围 3 SOC的定义 起源：SOC(Security Operations Center，即安全运营中心) 概念起源于国外。之前的NOC (Network Operations Center，即网络运行中心)强调对客户网络进行集中化、全方位的监控、分析与响应，实现体系化的网络运行维护。随着信息安全问题的日益突出，安全管理理论与技术的不断发展，企业需要从安全的角度去管理整个网络和系统，从而产生了SOC的概念。 4 SOC的变革和新一代SOC的架构 5 SOC的变革 发展过程：SOC经历了从开始的1.0到2.0的发展过程，进入到2014年随着大数据、云计算、机器学习等新技术的出现，以及客户业务上的需求和问题，产品逐步向SOC3.0迈进。 SOC 1.0 以合规需求为主 日志集中的采集、存储和检索 以资产为核心  SOC 2.0 以业务为核心 简单关联分析 数据源以日志为主 系统架构为关系型数据库  传统SOC 面临的挑战 海量数据的采集和存储困难 异构数据的存储和管理困难 安全事件的调查效率太低 对于趋势性的东西预测较难 系统交互能力有限 对历史数据的检测能力很弱 分析的方法较少 6 新一代SOC的技术框架 业务为核心，以大数据和机器学习为技术支撑，具备大规模数据的实时异常检测和分析、智能化安全分析、用户异常行为分析、全流量分析、安全可视化、风险预警、威胁情报共享和安全态势感知等新一代SOC能力。 SOC 3.0 的变化 n 大规模数据处理能力 n 用户行为分析 n 全流量分析 n 外部威胁情报 安全态势感知能力  SOC Tool Integration Framework EDR/NDR 终端/网络 监测和响应 Data Resources 数据源  TIP 威胁情报 NGSIEM 下一代SIEM NTA 网络流量分析  UEBA 用户行为分析 n 7  Prevention and WorkFlow mitigation tools 工作流 防护工具 瀚思大数据智能SOC平台 8 瀚思大数据智能SOC平台 业务层 情报 中心 支持 数据 采集层  威胁预警 态势感知 调查分析 安全监测 统计报表 资产管理 工单处理 恶意URL 恶意域名 事件库 恶意IP Oday漏洞 数 威胁情报 用户行为 据 规则分析 机器学习 流量分析 DNS库 恶意代码 处 分析 分析 平 数 理 与 据 图形数据库 台 人员账号 组织机构 计 储 管 算 存 理 安全域 IP地址库 Enrich 漏洞库 配置库 原始数据 Parse+Format 资产库 安全信息收集 日志采集 NetFlow采集 旁路抓包 安全设备 网络设备 应用系统 终端 认证系统 主机 / VM 数据库 中间件 …… 9 处理的数据类型 支持国内外几十家厂商、1000余种常见系统和设备日志的自动解析、标准化、丰富化 支持SNMP、SYSLOG、Agent、Netflow、API接口、数据库接口、FTP、端口镜像等采集方式 资产信息 安全日志 网络流量 威胁情报 人员信息 网络设备 安全设备 恶意URL 设备信息 主机 应用系统 Netflow 恶意IP 系统信息 中间件 数据库 DNS信息 应用信息 虚拟化 私有云平台 全流量 病毒特征码 数据预处理 大数据安全分析系统 10 事前防范- 威胁情报 瀚思安全威胁情报分析以部署各地的安全态势感知探针为来源，结合机器学习智能化分析筛选，生成精准的入侵检测指标（IOC），并通过可视化形式展现的智能安全威胁分析系统，能帮助用户对安全事件确认、安全态 势感知、甚至攻击取证提供精准、可靠的依据。 翰分 思析 安系 全统 威架 胁构 情 报 威胁情报信息关联展示 图像数据库 n 基于ES的图数据库系统 查询引擎 n 底层存储为源生图数据结构，优化数据关联搜索 n 可对查询结果进行图关联和列表形式展现 n 多维数据融合：Whois信息、终端行为信息、病毒监测信息、IP 信息、域名信息、漏洞知识库等 高威胁IP检 n 基于rocksdb实现 测引擎 n 企业级查询速度：每秒可处理超3万的待检IP n 多调用方式：图库检索、API调用  终端行为分析 n 海量样本处理能力：日处理超2万样本 引擎 n 全自动化部署，极速安装 n 多平台支持：支持32位、64位可疑实体查询 n 结果直接写入图库，方便多维数据关联 恶意域名检测 n