国内网络安全信息与事件管理类产品研究与测试报告-D.docxVIP

国内网络安全信息与事件管理类产品研究与测试报告

目 录

一、安全运营的演变与发展 1

（一）安全运营的定义 1

（二）安全运营的发展 2

（三）安全运营的技术实践 3

二、安全信息实践管理技术发展现状 5

（一）技术早期发展 5

（二）基础核心能力 6

三、国内SIEM/SOC类产品应用现状 9

（一）国内企业安全运营态势画像 9

安全检测类产品部署现状 9

安全警报数量现状 10

企业安全运营威胁发现能力现状 12

（二）国内安全信息和事件管理类产品应用现状 15

安全信息和事件管理类产品国内部署现状 15

安全信息和事件管理类产品使用效果评价 17

企业对SIEM集成安全能力的期望 19

企业对SIEM产品期望改进的能力 20

四、SIEM/SOC类产品测试情况综述 22

（一）测试基本情况 22

（二）测试环境介绍 23

（三）测试方法说明 24

（四）测试对象范围 25

（五）测试内容简介 26

五、SIEM/SOC类产品测试结果总体分析 28

（一）日志采集告警与基础分析支持较好 29

（二）自动化编排能力有待深化 31

（三）安全合规审计能力亟需加强 33

（四）系统自身安全管理功能完善 36

（五）Web和业务安全漏洞均有存在 38

六、SIEM/SOC类产品威胁识别能力分析 40

（一）各类网络攻击发现和分析的能力 40

（二）多步骤攻击发现和关联分析的能力 41

七、SIEM/SOC类产品态势感知能力分析 43

（一）攻击和威胁态势感知能力分析 43

（二）资产和运行态势感知能力分析 45

（三）用户实体画像和UEBA能力分析 46

八、SIEM/SOC类产品趋势展望 48

（一）“智能SIEM”将引领新一代SIEM能力发展 49

智能化：AI+自动化驱动 50

主动化：威胁感知与主动防御 53

集成化：多元安全能力高效联动 55

MITREATTCK框架助推安全运营能力提升 56

（二）多元安全能力组合成新趋势 59

（三）AI自动化驱动智能化转型 60

（四）云端部署能力持续扩展 60

（五）需求落地向业务导向型转变 61

（六）多行业标准化交付能力待提升 61

九、SIEM/SOC类产品能力分组 62

（一）综合技术能力组（8家） 62

（二）日志采集识别与告警能力组（8家） 62

（三）威胁情报采集与安全分析能力（8家） 63

（四）态势感知能力（8家） 63

（五）ATTCK攻击链溯源能力（8家） 63

（六）安全治理能力（8家） 64

（七）安全编排和全过程自动化能力（SOAR）（8家） 64

（八）用户和实体行为分析能力（UEBA）（8家） 65

关于 66

图目录

图1 CybersecurityFramework 1

图2 常见SIEM工作流 6

图3 企业部署网络安全检测类产品的数量比例 10

图4 企业安全事件警报数量 11

图5 企业安全警报有效事件处理 11

图6 企业安全警报数量增加原因 12

图7 企业威胁发现能力评价 13

图8 企业安全运营能力评价 14

图9 企业安全运营能力缺陷问题分析 15

图10企业是否选择部署安全信息和事件管理类产品 16

图11国内企业品牌选择 17

图12产品使用效果评价 18

图13企业对SIEM类产品不满意调查 19

图14企业对SIEM集成安全能力的期望 20

图15企业期盼改进的能力 21

图16测试网络拓扑图 23

图17IXIAPerfectStormONE流量发生器Web界面 25

图18IXIAVisionE40分流设备 25

图19受测产品主要功能满足率 29

图20威胁情报能力 30

图21受测产品主要能力占比 31

图22受测产品SOAR能力占比 32

图23SOAR功能界面示意图 33

图24等级保护2.0审计功能示意图 34

图25等级保护2.0审计功能占比 35

图26安全治理数据功能示意图 35

图27安全治理数据功能 36

图28自身安全管理配置功能示意图 37

图29自身安全管理配置功能示意图 37

图30产品自身安全管理功能结果比例图 38

图31受