360态势感知与安全运营平台.docVIP

360 态势感知与安全运营平台 产品白皮书 █文档编号 █密级 █版本编号 █日期 360 企业安全集团 PAGE 360 企业安全集团 PAGE 15 / 19 密级：XXXX 目录 1 产品概述 2 2 平台介绍 2 2.1 产品组成 2 2.2 产品架构 4 3 技术特点 6 3.1 全面的数据采集与分析 6 3.2 大数据基础架构 7 3.3 高性能关联分析 7 3.4 丰富的威胁情报 9 3.5 精准的多维度威胁检测 9 4 产品功能 10 4.1 威胁管理 10 4.2 资产管理 11 4.3 拓扑管理（收费模块） 11 4.4 漏洞管理（收费模块） 12 4.5 日志搜索 12 4.6 调查分析（收费模块） 13 4.7 报表管理 14 4.8 仪表展示 14 4.9 态势感知（收费模块） 15 5 服务支持 16 5.1 安全规则运营服务 16 5.2 全流量威胁分析服务 16 6 应用价值 17 6.1 安全监控的范围更大 17 6.2 威胁发现及时性提升 17 6.3 安全管理效率提升 17 6.4 降低宏观安全理解成本 18 1 产品概述 360 态势感知与安全运营平台（以下简称 NGSOC，Next Generation Security Operation Center）是 360 企业安全集团基于大数据架构自主构建的一套面向政企客户 的新一代安全管理系统。该系统利用大数据等创新技术手段，结合 360 的安全能力和传 统安全技术积累针对各种网络安全数据进行分析处理，可以为政企客户的安全管理者提 供资产、威胁、脆弱性的相关管理，并能提供对威胁的事前预警、事中发现、事后回溯 功能，贯穿威胁的整个生命周期管理。 NGSOC 产品继承了 360 企业安全集团下属网神子公司长期以来在 SOC 产品上的历史 经验，同时将来自互联网公司的大数据技术注入到了产品的开发过程中，可以既满足海 量日志下的快速计算分析需要，又能够兼顾大量基础管理功能，同时也汲取了国内 SOC 经常无人使用的失败经验，有针对性的在产品设计中考虑了更多有关提升使用效率、分 析效率的相关实现，并对产品的后续服务提供了一整套相关方案以帮助用户更好的使用 NGSOC 产品。 NGSOC 产品在架构演进以外，也使用了大量新型安全技术，其中威胁情报能够快速 的帮助单一企业补足在安全知识上的短板，既可以帮助企业发现威胁，也可以提供更广 泛的威胁分析手段和能力。而其他诸如依赖于机器学习的 web 攻击发现功能等一系列威 胁检测手段则能有效增强针对传统安全问题的检测率和准确度。 在架构革新和新技术的推动下，NGSOC 产品正在引领国内安全管理产品市场的变革， 同时也获得着国内客户的认可。据权威资讯机构赛迪顾问的统计数据，360 企业安全的 NGSOC 产品在 2016 年中国安全管理平台产品市场中市场占有率第一。 2 平台介绍 2.1 产品组成 NGSOC 产品主要包括流量传感器、日志采集探针、关联规则引擎和分析平台 4 个硬 件组件，同时能够对接 360 天眼新一代威胁感知系统中的文件威胁鉴定器和 360 天擎系 统的 EDR 组件，如下图所示： 图 1 ：NGSOC 产品组成 1) 流量传感器 流量传感器的功能主要是采集网络中的流量数据，将原始的网络全流量转化为按 session 方式记录的格式化流量日志，全流量日志会加密传输给分析平台存储用于后期 的审计和分析。同时对网络流量中传输的文件进行还原，还原后的文件会传输给文件威 胁鉴定器用于判定文件是否有威胁。流量传感器内置了一级流量检测引擎，主要有三类 检测规则：WEB 漏洞利用检测引擎、webshell 活动检测引擎、以及网络入侵检测引擎等， 可实时的发现流量中存在攻击特征的行为。 流量传感器通常部署在网络出口交换机旁，或者其他需要监听流量的网络节点旁， 接收镜像流量。 2) 日志采集探针 日志采集探针的主要功能是对网络内各业务应用系统、设备、服务器、终端等设备 通过主动采集或被动接收等方式对日志进行采集并进行归一化预处理，方便数据流后面 的关联规则和数据分析能够快速使用。同时日志采集探针还负责对内网资产进行扫描识 别，收集资产数据。 3) 关联规则引擎 关联规则引擎主要负责对来自日志采集探针的大量日志信息进行实时流解析，并匹 配关联规则，对异常行为产生关联告警。通常关联规则引擎与分析平台和日志采集探针 部署在同一