SOC安全运营中心产品介绍.pptxVIP

首页;题纲;SOC相关名词术语;SOC;MSS and MSSP;MSS服务方式;SOC、MSS、MSSP及User间关系;SOC产生的背景;SOC产生背景（续）;全球SIEMS主流厂商;;SOC市场划分（中国特色）;SOC技术;国内安全管理平台功能定义;国内安管平台现状;未来SOC之路;题纲;;;;;TSM的逻辑架构;面向消息中间件技术;综合监控;资产管理;风险管理;;事件整合流程;9/10/01 5：05：29 PM， %PIX-6-106015：Deny TCP（no connection）from 8/2182 to 0/63228 flags SYN RST PSH ACK on interface outside;系统支持二级过滤功能，大量的噪音数据可以在Agent端直接丢弃，在管理服务器端还可以进行进一步的过滤以减少数据库的压力。 所有事件过滤功能都使用SQL 92标准组合任意过滤条件，可以使用户灵活的控制事件过滤条件。 ;基于状态机的关联分析;关联分析可加速问题定位、提高系统可用性 ;基于规则的关联分析： 将可疑的安全活动场景（暗示某潜在安全攻击行为的一系列安全事件序列）加以预先定义。系统能够使用定义好的关联性规则表达式，对收集到的安全事件进行检查，确定该事件是否和特定的规则匹配。 基于统计的关联分析： 定义一些大的安全事件类别，对每个类别的事件设定一个合理的阀值，将出现的事件先归类，然后进行缓存和计数，当在某一段时间内，计数达到该阀值，可以产生一个级别更高的安全事件。 基于资产的关联分析： 安全事件能与相关资产的敏感性以及相关资产上的漏洞进行关联，从而判断某个安全事件是否能造成不良影响以及造成不良影响的严重程度。 基于广义漏洞的关联分析： 安全事件能同网段的相应漏洞进行关联，判断可能造成的不良影响。;【场景描述】 （1）某个攻击者对某台主机进行端口扫描(事件来自于安全设备) （2）攻击者发现该主机的3389端口（微软远程桌面服务）已打开，并通过口令字猜测获得了该的主机口令（系统事件）； （3）攻击者登陆上该台主机，将其重要文件传送出去（系统事件） ;;漏洞扫描工具;支持的响应方式主要有: 命令行告警 辅助决策联动命令 陷阱导入 交换机端口启用、禁用操作 防火墙阻断 发送邮件 铃声告警 SNMP Trap方式告警 TopDesk补丁升级 TopDesk防火墙???断 TopPolicy防火墙阻断 声光报警 声音报警 WinPop告警 工单处理 短消息 ;用户选择需要辅助决策处理的事件，系统将会自动为其匹配决策，并由用户决定是否执行决策中的响应脚本。 ;文件解析引擎提供数据格式的解析 安全设备：防火墙、入侵检测系统、VPN、防病毒软件、漏洞扫描器、安全审计系统等 网络设备：交换机、路由器等 操作系统：Windows NT/2000/XP/2003操作系统、主流Linux系统、主流Unix系统等 应用系统：Web（apache、iis）、Ftp（iis）、Mail（exchange）、DBMS（Oracle、SQL Server、DB2、Informix、Sybase）等 其他任何支持标准SYSLOG、WELF、SNMP（v2、v3）等日志格式的设备和系统 通过flexer标记语言可快速提供对未知设备日志格式的支持，不需要修改程序代码 总结：目前TSM可以收集业内110种日志格式，对于不能够支持的设备，可以在5个工作日内定制开发完成。;访问和身份管理IBM Tivoli Access ManagerIBM Tivoli Identity Manager Microsoft Active Directory CA eTrust Access CA eTrust Secure Proxy Server CA eTrust Siteminder (Netegrity) RSA SecureID RADIUS Oracle Identity Management (Oblix) Sun Java System Directory Server Cisco ACS 路由器/交换机 思科路由器交换设备 华为路由器交换设备 中兴路由器交换设备 Cisco Catalyst 交换机 Foundry 交换机 Juniper JunOS Nortel 以太网路由交换机 8300, 8600, 400 系列 ;系统能够通过直观、友好的网络管理界面，可以实现对网络中的设备、主机、应用系统等方面的综合管理与监控。 主要包括网络设备自动发现、拓扑管理、视图管理、性能管理、资产管理等功能。 ;网络管理可以对扫描到的所有网络设备进行管理，包括IP地址、端口、链路、VLAN 、数据统计等。 ;性能管理主要