SOC关联分析模块核心功能与架构概览.pdfVIP

1Soc关联分析模块交接文档

1.1Soc概述

Soc是统一安全管理平台的简称，即Securityoperationcenter。主要功能是网络环境中的资产，安全

，将收集到的安全匹配规则库，产生告警、生成相应的处理策略展示给用户。

Soc主要分为soc（agent）、关联分析（socanalysis）、服务端（socserver）三个模块。

Agent模块主要是将网络环境中各个设备的日志收集起来，分别进行解析，归一化处理，生成某类固定格

式的日志，发送给关联分析和服务端。

关联分析模块收到agent端发送过来的日志后，会匹配规则库，进行交叉关联和规则关联算法，最终生成

告警发送给服务端，并将产生告警的存数据库。

服务端接收agent发送的在mongdb，用于界面的展示。服务端接收关联分析模块发送

的告警在mysql数据库，用户告警信息的展示、管理，以及告警和、规则的关联展示等。

三个主要服务模块之间的和数据接收和发送依赖于activemq消息通信进制，消息发送都采用json格

式。

网络中产生的设备在关联分析模块中用插件表示，每个插件对应唯一一个i