安全管理平臺產(chǎn)品介紹

Leadsec-SOC

v2002Revision2

2014年10月31日目錄安全管理平臺需求分析產(chǎn)品特點與價值其它功能2網(wǎng)御星云SOC系統(tǒng)介紹服務(wù)優(yōu)勢LeadsecConfidential安全管理平臺的兩大動因LeadsecConfidential3重要資產(chǎn)的安全狀況無法監(jiān)控主機(jī)防火墻IDS身份認(rèn)證漏洞掃描有漏洞嗎？我們處于危險中么？我下一步該做什么？發(fā)生什么了？應(yīng)用網(wǎng)絡(luò)設(shè)備防病毒內(nèi)在需求外在需求全網(wǎng)整體安全態(tài)勢監(jiān)控系統(tǒng)整體運(yùn)行狀態(tài)監(jiān)控便捷、高效的管控平臺和界面集中化的監(jiān)控、審計、預(yù)警、響應(yīng)、報告全面有效地的契合等級保護(hù)的要求符合國家法律、行業(yè)法規(guī)、企業(yè)規(guī)定切實可行的內(nèi)控、信息科技風(fēng)險防范合規(guī)審計共同內(nèi)因分散的IT安全防御設(shè)施復(fù)雜的業(yè)務(wù)信息系統(tǒng)安全孤島孤立的管理手段等保《安全設(shè)計技術(shù)要求》明確安管平臺LeadsecConfidential4國內(nèi)客戶對安管平臺的關(guān)鍵訴求52011年底51CTO發(fā)布《2011中國SOC安全管理平臺市場應(yīng)用現(xiàn)狀報告》國內(nèi)客戶需求分析統(tǒng)一的安全事件管理統(tǒng)一的網(wǎng)絡(luò)運(yùn)行監(jiān)控LeadsecConfidential當(dāng)前安全管理平臺的缺陷LeadsecConfidential6以IT資產(chǎn)為管理對象，無法洞悉全網(wǎng)及業(yè)務(wù)系統(tǒng)的結(jié)構(gòu)性安全業(yè)務(wù)系統(tǒng)=建筑物IT資產(chǎn)=建筑物的水泥和沙子水泥和沙子的質(zhì)量固然重要，但好的水泥和沙子也不一定能夠建構(gòu)起好的建筑物，關(guān)鍵還要看整個建筑物的結(jié)構(gòu)是否合理當(dāng)前的安管平臺能夠告知我們IT資產(chǎn)的安全，但卻無法告知我們業(yè)務(wù)系統(tǒng)的安全當(dāng)前安全管理平臺的缺陷LeadsecConfidential7以安全事件為分析要素，偏事后分析，以被動響應(yīng)為主安全事件是對已經(jīng)發(fā)生或者正在發(fā)生的行為的描述對安全事件的分析偏事后和事中分析結(jié)果更多地是指導(dǎo)我們進(jìn)行故障處置、應(yīng)急響應(yīng)當(dāng)前的安管平臺能夠告知我們哪里出了問題，但不能提前告知我們哪里將會出問題當(dāng)前安全管理平臺的缺陷LeadsecConfidential8過度倚重基于規(guī)則的關(guān)聯(lián)分析，只能發(fā)現(xiàn)已知的問題基于規(guī)則的關(guān)聯(lián)分析引擎規(guī)則集匹配基于規(guī)則的關(guān)聯(lián)分析引擎必須要有規(guī)則才能運(yùn)行規(guī)則只能對已知的攻擊和行為進(jìn)行描述無法識別未知的攻擊，或者是尚未被描述成規(guī)則的攻擊和行為當(dāng)前的安管平臺能夠發(fā)現(xiàn)已知的安全問題，但卻無法發(fā)現(xiàn)未知的安全問題當(dāng)前安全管理平臺的缺陷LeadsecConfidential9當(dāng)前的安全管理平臺以資產(chǎn)為管理對象以規(guī)則關(guān)聯(lián)為分析手段以事件為分析要素個體化的局部的非結(jié)構(gòu)化的規(guī)則驅(qū)動的先驗性的已知的已經(jīng)發(fā)生了的事后的被動的目錄安全管理平臺需求分析產(chǎn)品特點與價值其它功能10網(wǎng)御星云SOC系統(tǒng)介紹服務(wù)優(yōu)勢LeadsecConfidential網(wǎng)御星云安全管理平臺（SOC）定義以IT資產(chǎn)為基礎(chǔ)，以業(yè)務(wù)信息系統(tǒng)為核心，以用戶體驗為指引，從監(jiān)控、審計、度量、運(yùn)維四個維度建立一個全網(wǎng)統(tǒng)一的業(yè)務(wù)支撐平臺，使得各種用戶能夠?qū)I(yè)務(wù)信息系統(tǒng)進(jìn)行可用性、性能與服務(wù)水平監(jiān)控，配置及事件分析、審計、預(yù)警與響應(yīng)，風(fēng)險及態(tài)勢的度量、評估、考核與評價，標(biāo)準(zhǔn)化、例行化、常態(tài)化的安全流程管控，通過面向業(yè)務(wù)的主動化、智能化安全管理實現(xiàn)業(yè)務(wù)信息系統(tǒng)的持續(xù)安全運(yùn)營。11LeadsecConfidentialSOC：下一代安全管理平臺LeadsecConfidential12以業(yè)務(wù)為核心業(yè)務(wù)建模業(yè)務(wù)健康指數(shù)業(yè)務(wù)性能與可用性業(yè)務(wù)脆弱性業(yè)務(wù)威脅水平內(nèi)建主動安全機(jī)制事前脆弱性管控配置核查漏洞掃描預(yù)警管理安全預(yù)警性能預(yù)警智能化關(guān)聯(lián)分析規(guī)則關(guān)聯(lián)情境關(guān)聯(lián)行為關(guān)聯(lián)智能化態(tài)勢分析知所未知業(yè)務(wù)的智能的主動的用戶視圖13LeadsecConfidential安全要素信息采集安全分析響應(yīng)與處置系統(tǒng)支撐多維展現(xiàn)技術(shù)架構(gòu)14LeadsecConfidential功能架構(gòu)15LeadsecConfidential數(shù)據(jù)庫層功能層展示層被保護(hù)對象網(wǎng)絡(luò)設(shè)備安全設(shè)備主機(jī)數(shù)據(jù)庫中間件應(yīng)用/服務(wù)物理安防……云設(shè)施存儲虛擬化采集層其它系統(tǒng)應(yīng)用接口層資產(chǎn)采集性能采集配置采集事件采集監(jiān)控界面運(yùn)維界面風(fēng)險界面審計界面資產(chǎn)管理系統(tǒng)管理采集器管理態(tài)勢分析配置核查級聯(lián)管理告警管理權(quán)限管理工單管理知識管理報表管理風(fēng)險評估預(yù)警管理儀表板管理資產(chǎn)界面漏洞系統(tǒng)配置事件性能拓?fù)錁I(yè)務(wù)資產(chǎn)知識規(guī)則工單告警預(yù)警風(fēng)險業(yè)務(wù)界面漏洞采集業(yè)務(wù)管理性能監(jiān)控事件分析核心功能分解資產(chǎn)建模資產(chǎn)維護(hù)安全域管理資產(chǎn)視圖資產(chǎn)事件審計資產(chǎn)性能監(jiān)測資產(chǎn)風(fēng)險評估資產(chǎn)管理業(yè)務(wù)建模業(yè)務(wù)健康指數(shù)業(yè)務(wù)拓?fù)錁I(yè)務(wù)可用性業(yè)務(wù)告警業(yè)務(wù)事件性能信息采集拓?fù)涔芾砭W(wǎng)絡(luò)故障診斷基礎(chǔ)設(shè)施監(jiān)控應(yīng)用監(jiān)控性能監(jiān)控態(tài)勢建模指標(biāo)體系設(shè)計地址熵態(tài)勢威脅態(tài)勢熱點分析安全管理KPI*態(tài)勢分析預(yù)警發(fā)布預(yù)警審批預(yù)警分析預(yù)警規(guī)則管理預(yù)警查看預(yù)警管理告警查看告警處理告警追溯告警統(tǒng)計告警響應(yīng)告警管理工單派發(fā)工單調(diào)度工單查看工單流轉(zhuǎn)工單統(tǒng)計工單管理事件采集事件建模事件存儲事件審計追蹤關(guān)聯(lián)分析關(guān)聯(lián)規(guī)則管理行為分析事件可視化事件管理預(yù)置報表自定義報表預(yù)置報告自定義報告報表調(diào)度報表管理業(yè)務(wù)管理*該功能默認(rèn)不提供，需要定制。后同。16LeadsecConfidential核查項管理核查策略管理核查作業(yè)調(diào)度離線核查核查報告配置核查知識檢索案例庫漏洞庫事件庫字典表文檔庫知識管理弱點管理漏掃調(diào)度威脅管理風(fēng)險建模風(fēng)險評估風(fēng)險評估系統(tǒng)組成管理中心【分為軟件型和硬件型】包括了TSOC的核心功能管理中心內(nèi)置性能采集模塊，具備全部監(jiān)控功能管理中心內(nèi)置事件采集模塊，具備全部事件采集功能性能采集器（可選）性能采集器可以獨(dú)立安裝部署，或者與事件采集器集成部署，功能同管理中心內(nèi)置的性能采集模塊，用以輔助管理中心實現(xiàn)分布式性能采集與監(jiān)控事件采集器（可選）【分為軟件型和硬件型】事件采集器可以獨(dú)立安裝部署，或者與性能采集器集成部署，功能同管理中心內(nèi)置的采集模塊，用以輔助管理中心實現(xiàn)分布式事件采集和負(fù)載均衡日志代理（可選）對于Windows日志，系統(tǒng)還提供一個單獨(dú)的Windows日志代理軟件，可以安裝在Windows系統(tǒng)的主機(jī)上，采集Windows系統(tǒng)的日志流采集器【也稱作“網(wǎng)絡(luò)行為分析模塊”、硬件】（可選）流采集器可以獨(dú)立安裝部署，用以輔助管理中心實現(xiàn)網(wǎng)絡(luò)流采集和分析事件存儲器（可選）用于對海量事件進(jìn)行分布式存儲、查詢、提取、統(tǒng)計及其它相關(guān)處理配置核查采集器（可選）配置核查采集器可以獨(dú)立安裝部署，用以實現(xiàn)分布式配置核查，或者離線配置核查配置核查代理（可選）對于Windows操作系統(tǒng)，系統(tǒng)提供一個配置核查代理，安裝在Windows上進(jìn)行本機(jī)配置核查17LeadsecConfidential管理中心端運(yùn)行環(huán)境LeadsecConfidential18平臺支持的操作系統(tǒng)系統(tǒng)需求WindowsWindowsServer2008R2EnterpriseWindowsServer2003EnterpriseEditionSP2Windows7Enterprise64位操作系統(tǒng)最低Intel酷睿雙核CPU，推薦使用Intel至強(qiáng)4核以上CPU至少4GB內(nèi)存，推薦16GB以上內(nèi)存1TB以上磁盤空間LinuxRedhatEnterpriseLinux6.3CentOS6.364位操作系統(tǒng)最低Intel酷睿雙核CPU，推薦使用Intel至強(qiáng)4核以上CPU至少4GB內(nèi)存，推薦16GB以上內(nèi)存1TB以上磁盤空間管理中心分為內(nèi)置數(shù)據(jù)庫版和外置Oracle版靈活多樣的部署方式LeadsecConfidential19單級部署單機(jī)部署采集分布式部署事件存儲分布式部署混合分布式部署多級部署Internet業(yè)務(wù)系統(tǒng)服務(wù)區(qū)網(wǎng)絡(luò)核心區(qū)內(nèi)部用戶區(qū)高安全等級服務(wù)區(qū)分支機(jī)構(gòu)遠(yuǎn)程個人管理區(qū)DMZ區(qū)Internet單級部署：單機(jī)部署LeadsecConfidential20管理中心圖示SOC-管理中心SOC-分布式采集器匯聚線路采集線路Internet業(yè)務(wù)系統(tǒng)服務(wù)區(qū)網(wǎng)絡(luò)核心區(qū)內(nèi)部用戶區(qū)高安全等級服務(wù)區(qū)分支機(jī)構(gòu)遠(yuǎn)程個人管理區(qū)DMZ區(qū)Internet單級部署：采集分布式部署LeadsecConfidential21采集器采集器采集器采集器采集器圖示SOC-管理中心SOC-分布式采集器匯聚線路采集線路管理中心單級部署：事件存儲分布式部署通過部署分布式事件存儲器，將海量安全事件分散存儲在不同的存儲器上，通過數(shù)據(jù)分布式處理技術(shù)實現(xiàn)天量數(shù)據(jù)的高性能處理能力LeadsecConfidential22單級部署：混合分布式部署LeadsecConfidential23分布式事件存儲器Internet業(yè)務(wù)系統(tǒng)服務(wù)區(qū)網(wǎng)絡(luò)核心區(qū)內(nèi)部用戶區(qū)高安全等級服務(wù)區(qū)分支機(jī)構(gòu)遠(yuǎn)程個人管理區(qū)DMZ區(qū)Internet管理中心多級部署LeadsecConfidential24下級管理中心下級管理中心上級管理中心WAN下級管理中心掌握并展示安全狀態(tài)和發(fā)展趨勢安全事件分析、定位與跟蹤應(yīng)急指揮調(diào)度日常維護(hù)服務(wù)(分析報告)網(wǎng)御星云SOC的核心作用25LeadsecConfidential面向各角色用戶的一體化安全管控全網(wǎng)IT資源SOC安全管理平臺26LeadsecConfidential業(yè)務(wù)部門領(lǐng)導(dǎo)安全經(jīng)理運(yùn)維人員一體化安全管控掌握業(yè)務(wù)系統(tǒng)安全態(tài)勢查閱業(yè)務(wù)系統(tǒng)安全報告協(xié)調(diào)安全事件的處理落實安全策略制定任務(wù)計劃出具分析報告監(jiān)測網(wǎng)絡(luò)可用性安全事件審計任務(wù)處理與應(yīng)急響應(yīng)高層領(lǐng)導(dǎo)掌握整體安全態(tài)勢評估安全機(jī)制的有效性提供安全管理決策支持面向各角色用戶的一體化安全管控LeadsecConfidential27目錄安全管理平臺需求分析產(chǎn)品特點與價值其它功能28網(wǎng)御星云SOC系統(tǒng)介紹服務(wù)優(yōu)勢LeadsecConfidential產(chǎn)品特點29全方位的系統(tǒng)運(yùn)行監(jiān)控智能化的安全事件分析可量化的安全風(fēng)險評估指標(biāo)化的宏觀態(tài)勢感知豐富靈活的報表報告用戶網(wǎng)絡(luò)和業(yè)務(wù)影響性最小化完善的系統(tǒng)自身安全性保證SOCLeadsecConfidential主動化的弱點管理與預(yù)警面向業(yè)務(wù)面向業(yè)務(wù)的安全管理LeadsecConfidential30為用戶提供業(yè)務(wù)支撐拓?fù)涞貓D，能夠?qū)I(yè)務(wù)進(jìn)行多視角安全管理業(yè)務(wù)拓?fù)銼OC內(nèi)置業(yè)務(wù)建模工具，可以構(gòu)建業(yè)務(wù)拓?fù)洌⒆詣訕?gòu)建業(yè)務(wù)健康指標(biāo)體系，從業(yè)務(wù)的性能與可用性、業(yè)務(wù)的脆弱性和業(yè)務(wù)的威脅三個維度計算業(yè)務(wù)的健康度業(yè)務(wù)健康指數(shù)度量業(yè)務(wù)可用性分析業(yè)務(wù)告警業(yè)務(wù)事件業(yè)務(wù)安全可以鉆取到資產(chǎn)層可以鉆取到資產(chǎn)層業(yè)務(wù)支撐構(gòu)成的建模LeadsecConfidential31WEB網(wǎng)站系統(tǒng)WEB服務(wù)器WS數(shù)據(jù)庫服務(wù)器Oracle交換機(jī)存儲業(yè)務(wù)系統(tǒng)業(yè)務(wù)支撐構(gòu)成通過業(yè)務(wù)拓?fù)浞从硺I(yè)務(wù)構(gòu)成，從業(yè)務(wù)視角觀察相關(guān)資產(chǎn)的運(yùn)行狀況和安全狀況業(yè)務(wù)健康指數(shù)計算模型LeadsecConfidential32業(yè)務(wù)健康指數(shù)業(yè)務(wù)性能指數(shù)關(guān)鍵性能指標(biāo)1關(guān)鍵性能指標(biāo)2關(guān)鍵性能指標(biāo)N業(yè)務(wù)威脅指數(shù)軟硬件故障入侵與攻擊違規(guī)與誤操作惡意代碼認(rèn)證授權(quán)與非法訪問信息泄露與篡改業(yè)務(wù)脆弱性指數(shù)漏洞脆弱性配置脆弱性表征業(yè)務(wù)系統(tǒng)的性能與可用性狀況用戶可以自定義關(guān)鍵性能指標(biāo)，例如網(wǎng)絡(luò)通斷、CPU內(nèi)存利用率、端口流量等，有1000+指標(biāo)可供選擇表征業(yè)務(wù)系統(tǒng)受到的實威脅狀況默認(rèn)6個維度，用戶可以自定義表征業(yè)務(wù)系統(tǒng)的整體脆弱性狀況綜合考慮漏洞和配置弱點從性能與可用性、威脅和脆弱性三個維度計算業(yè)務(wù)健康度業(yè)務(wù)健康度LeadsecConfidential33業(yè)務(wù)健康指數(shù)業(yè)務(wù)健康指數(shù)曲線業(yè)務(wù)性能指數(shù)業(yè)務(wù)威脅指數(shù)業(yè)務(wù)脆弱性指數(shù)全方位的系統(tǒng)運(yùn)行監(jiān)控34SNMPICMPODBCJMXWMITELNETSSHSSH2…拓?fù)涔芾硇阅鼙O(jiān)測故障診斷歷史分析告警響應(yīng)告警關(guān)聯(lián)統(tǒng)計報表領(lǐng)導(dǎo)安全經(jīng)理監(jiān)控人員掌握整體運(yùn)行狀況符合等保要求評估安全的可用性建立監(jiān)控策略制定任務(wù)計劃出具運(yùn)行分析報告應(yīng)用性能監(jiān)測故障定位任務(wù)處理與告警響應(yīng)LeadsecConfidential網(wǎng)絡(luò)監(jiān)控主機(jī)監(jiān)控數(shù)據(jù)庫監(jiān)控中間件監(jiān)控應(yīng)用監(jiān)控安全設(shè)備監(jiān)控虛擬化監(jiān)控全方位的系統(tǒng)運(yùn)行監(jiān)控LeadsecConfidential35設(shè)備對象監(jiān)控指標(biāo)網(wǎng)絡(luò)設(shè)備設(shè)備名稱、IP信息、描述、節(jié)點狀態(tài)、運(yùn)行時間、接口信息、路由信息、網(wǎng)絡(luò)狀態(tài)信息、網(wǎng)絡(luò)性能信息安全設(shè)備設(shè)備名稱、IP信息、描述、節(jié)點狀態(tài)、運(yùn)行時間、接口信息、路由信息、網(wǎng)絡(luò)狀態(tài)信息、網(wǎng)絡(luò)性能信息虛擬化系統(tǒng)ESX的名稱、IP、描述、節(jié)點狀態(tài)、運(yùn)行時間、CPU利用率、內(nèi)存利用率、網(wǎng)絡(luò)狀況、數(shù)據(jù)存儲、磁盤IO、虛擬機(jī)列表；ESX中的每個VM的名稱、IP、描述、節(jié)點狀態(tài)、運(yùn)行時間、CPU利用率、內(nèi)存利用率、網(wǎng)絡(luò)狀況、數(shù)據(jù)存儲、磁盤IO服務(wù)器名稱、IP、描述、節(jié)點狀態(tài)、運(yùn)行時間、網(wǎng)絡(luò)接口信息、CPU利用率、內(nèi)存利用率、磁盤利用率、磁盤IO、文件系統(tǒng)、安裝軟件、安裝服務(wù)、運(yùn)行進(jìn)程、網(wǎng)絡(luò)連接，支持自定義指標(biāo)數(shù)據(jù)庫名稱、版本、端口、主機(jī)名、內(nèi)存信息、運(yùn)行狀態(tài)、事務(wù)信息、緩存信息、連接信息、鎖信息、SQL統(tǒng)計、命中率信息、表空間信息、訪問方法明細(xì)、數(shù)據(jù)庫明細(xì)中間件名稱、版本、端口、連通性、運(yùn)行狀態(tài)、CPU、內(nèi)存、事務(wù)、JVMRuntime、隊列、Servlet會話、線程池、EJB、JDBC連接應(yīng)用郵件服務(wù)（SMTP/POP3）的連通性、響應(yīng)延遲、工作狀態(tài)、收發(fā)郵件速率；LotusDomino的連通性、命令緩存、NSF、請求、會話、郵件收發(fā)性能；WEB應(yīng)用的連通性、響應(yīng)、傳輸、用戶訪問數(shù)、URL監(jiān)控；通用服務(wù)（TCP、DNS、DHCP）協(xié)議的連通性、響應(yīng)時間其它只要支持SNMP、JMX、ODBC/JDBC協(xié)議即可全方位的系統(tǒng)運(yùn)行監(jiān)控LeadsecConfidential36網(wǎng)絡(luò)拓?fù)浔O(jiān)控網(wǎng)絡(luò)設(shè)備監(jiān)控虛擬機(jī)監(jiān)控ESX監(jiān)控全方位的系統(tǒng)運(yùn)行監(jiān)控LeadsecConfidential37Linux監(jiān)控快照Domino監(jiān)控快照WebSphere監(jiān)控快照Oracle監(jiān)控快照系統(tǒng)運(yùn)行監(jiān)控的多協(xié)議架構(gòu)LeadsecConfidential38SOCSNMP/WebService/HTTP/協(xié)議仿真SNMP/WebService/JMX/協(xié)議仿真SNMP/ODBC/JMXSNMP/SSHSNMP/SSH最大限度地降低對被監(jiān)控系統(tǒng)及其網(wǎng)絡(luò)的影響性API中間件數(shù)據(jù)庫操作系統(tǒng)網(wǎng)絡(luò)和安全基礎(chǔ)設(shè)施業(yè)務(wù)系統(tǒng)OA系統(tǒng)網(wǎng)站系統(tǒng)虛擬化在雙IntelXEON4核CPU，8GB內(nèi)存，64位操作系統(tǒng)下，并行的監(jiān)控器個數(shù)可達(dá)200個大規(guī)模分布式的系統(tǒng)運(yùn)行監(jiān)控LeadsecConfidential39SOC性能采集器性能采集器在雙IntelXEON4核CPU，8GB內(nèi)存，64位操作系統(tǒng)下，采用分布式性能采集器部署模式時，并行的監(jiān)控器個數(shù)可達(dá)1000個在雙IntelXEON4核CPU，8GB內(nèi)存，64位操作系統(tǒng)下，采用單一部署模式時，并行的監(jiān)控器個數(shù)可達(dá)200個領(lǐng)導(dǎo)安全經(jīng)理審計人員掌握整體安全態(tài)勢審核等保與內(nèi)控評估安全有效性建立審計策略制定任務(wù)計劃出具日志審計報告采集和存儲日志日志審計與分析任務(wù)處理與告警響應(yīng)SyslogTrapOPSECFileWMIFTPODBCXML…智能化的安全事件分析40異構(gòu)海量日志采集日志范式化與分類事件過濾歸并關(guān)聯(lián)分析告警存儲加密壓縮備份恢復(fù)監(jiān)視統(tǒng)計查詢追溯報表LeadsecConfidential支持多種數(shù)據(jù)源41設(shè)備類型廠商或產(chǎn)品交換機(jī)Cisco、Extreme、Juniper、博科、華為、H3C、神州數(shù)碼、銳捷路由器Cisco、Extreme、Juniper、華為、H3C、神州數(shù)碼、銳捷防火墻/UTM/USG啟明星辰、網(wǎng)御星云、Cisco、JuniperNetscreen、飛塔、Checkpoint、Nokia、Bluecoat、天融信、東軟、方正科技、網(wǎng)御神州、億陽信通、中科網(wǎng)威、中網(wǎng)、阿姆瑞特、衛(wèi)士通、H3C、迪普、山石VPN網(wǎng)御星云、天融信、Array、Juniper網(wǎng)閘網(wǎng)御星云、國保金泰、鴻瑞、南瑞IDS/IPS/IDP啟明星辰、網(wǎng)御星云、Cisco、McAfee、IBM、Snort、Tipping

Point、綠盟、東軟、H3C、天融信、安氏、三零盛安、網(wǎng)御神州、理工先河防病毒Symantec、TrendMicro、McAfee、瑞星、金山、江民、冠群金辰Anti-DDoS網(wǎng)御星云、綠盟WAF啟明星辰、Imperva、綠盟、中創(chuàng)InfoGuard負(fù)載均衡設(shè)備F5、信安世紀(jì)安全審計系統(tǒng)啟明星辰、復(fù)旦光華、漢邦、格爾、中軟、三零盛安操作系統(tǒng)IBMAIX、HP-UX、MicrosoftWindows、SolarisBSM、Linux及其變種數(shù)據(jù)庫Oracle、SQLServer、DB2、MySQL、Informix、Sybase、國產(chǎn)數(shù)據(jù)庫中間件Weblogic、WebShpere、JBoss、Apache、Tomcat、Domino業(yè)務(wù)系統(tǒng)各種客戶自有的業(yè)務(wù)系統(tǒng)（需要定制）其它Syslog日志源、SNMPTrap日志源

LeadsecConfidential對數(shù)據(jù)源的擴(kuò)展機(jī)制日志解析文件<XML>編寫日志解析文件提取日志格式獲得日志樣本/格式導(dǎo)入SOC獲悉通訊協(xié)議方式配置日志源未知設(shè)備類型進(jìn)行日志采集無需編程，僅需通過寫XML解析文件即可采集新設(shè)備類型的日志142LeadsecConfidentialSOCSyslogSNMPTrapFTPServer主被動結(jié)合的多協(xié)議日志采集防火墻/UTM防病毒系統(tǒng)IDSWindows主機(jī)數(shù)據(jù)庫中間件/應(yīng)用*nix主機(jī)網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)審計系統(tǒng)/4A終端安全文件共享WMIODBCOPSECLEA私有協(xié)議被動采集為主主動采集為輔嵌入采集（如有必要）日志代理43SOCLeadsecConfidential日志采集器日志采集器分布式日志采集：日志采集器SOCSOC-SA44LeadsecConfidential在雙IntelXEON4核CPU，8GB內(nèi)存，64位操作系統(tǒng)下，采用分布式日志采集器部署模式時，事件處理性能可達(dá)平均15000EPS在雙IntelXEON4核CPU，8GB內(nèi)存，64位操作系統(tǒng)下，采用單一部署模式時，事件處理性能可達(dá)平均6000EPSSOC-SA日志審計系統(tǒng)可以將事件轉(zhuǎn)發(fā)給SOC在單IntelXEON4核CPU，8GB內(nèi)存，64位操作系統(tǒng)下，事件解析性能可達(dá)平均6000EPS詳盡的日志范式化與日志分類范式化字段可以自定義擴(kuò)展啟明

星辰IDS日志<164>Dec07201122:18:5530:%PIX-4-106023:Denytcpsrcoutside:211.137.43.182/3158dstinside:21.7.255.217/445<12>evt_send:evtip:1;evtname:UDP_MS-SQL_SLAMMER_蠕蟲病毒;eid:152345450;counts:1;se:30;rspmode:81925;secutype:6;proto:UDP;sr:2;dest:3;sport:1176;dport:1434;smac:00-23-89-35-54-f0;dmac:00-23-89-35-54-f0;param:;設(shè)備名稱設(shè)備地址事件名稱源IP目的IP源端口目的端口……天闐

IDSPIXFWPIX防火墻日志3023

143444521.7.255.217211.137.43.182DenyUDP_MS-SQL_SLAMMER_蠕蟲病毒11763158日志分類入侵攻擊…………1范式化后事件通過日志范式化統(tǒng)一日志描述，提高日志分析效率45訪問控制LeadsecConfidential基于策略的安全事件分析LeadsecConfidential46基于策略的事件分析就像地圖的圖層，只展現(xiàn)出用戶關(guān)心的信息用戶可以通過豐富的事件分析策略對全網(wǎng)的安全事件進(jìn)行全方位、多視角、大跨度、細(xì)粒度的實時監(jiān)測、統(tǒng)計分析、查詢、調(diào)查、追溯、地圖定位、可視化分析展示，等等策略D策略C策略B策略A基于策略的安全日志分析47用戶可以自定義日志分析策略，系統(tǒng)具備超過3300條策略庫不同的日志分析策略可以任意組合成為儀表板視圖實時監(jiān)視策略可以從設(shè)備、廠商、事件類型等多個維度進(jìn)行實時的事件分析可以對事件進(jìn)行地圖定位、行為分析、調(diào)查、追溯實時統(tǒng)計策略可以從設(shè)備、廠商、事件類型等多個維度進(jìn)行實時事件的統(tǒng)計分析歷史統(tǒng)計策略可以從設(shè)備、廠商、事件類型等多個維度進(jìn)行歷史事件的統(tǒng)計分析歷史查詢策略可以從設(shè)備、廠商、事件類型等多個維度進(jìn)行歷史事件查詢分析用戶的日志分析體驗過程由過去的“條件編輯”轉(zhuǎn)變?yōu)椤安呗赃x取”周期性行為同比分析與以往每天早上9點鐘相比，今天早上9點的防火墻阻斷次數(shù)偏高弱點關(guān)聯(lián)事件與資產(chǎn)弱點關(guān)聯(lián)針對某些目的IP攻擊事件，且這些目的IP具有某個特定弱點智能化事件關(guān)聯(lián)分析48智能事件關(guān)聯(lián)分析引擎規(guī)則關(guān)聯(lián)行為關(guān)聯(lián)邏輯關(guān)聯(lián)基于邏輯表達(dá)式的規(guī)則目的IP=XX&（目的端口=80||目的端口=8080）統(tǒng)計關(guān)聯(lián)基于統(tǒng)計條件的規(guī)則一分鐘內(nèi)某個源IP連續(xù)登錄某個目的IP失敗的次數(shù)大于6次網(wǎng)絡(luò)告警關(guān)聯(lián)事件與網(wǎng)絡(luò)告警關(guān)聯(lián)IDS報告某個IP正在遭受攻擊且該IP的CPU利用率及端口流量告警拓?fù)潢P(guān)聯(lián)事件與網(wǎng)絡(luò)拓?fù)潢P(guān)聯(lián)來自某些IP的性能故障事件發(fā)生時間存在先后，在網(wǎng)絡(luò)拓?fù)渖系挠成浞瞎收系膫鞑ヌ匦孕袨轭A(yù)測環(huán)比分析今天的IDS高等級告警次數(shù)與根據(jù)之前10天的走勢做出的預(yù)測相比偏高資產(chǎn)關(guān)聯(lián)事件與資產(chǎn)屬性關(guān)聯(lián)針對內(nèi)網(wǎng)的目的IP事件，且這些目的IP的操作系統(tǒng)是WindosXP情境關(guān)聯(lián)智能安全基于規(guī)則的事件關(guān)聯(lián)分析基于規(guī)則的關(guān)聯(lián)分析引擎邏輯關(guān)聯(lián)統(tǒng)計關(guān)聯(lián)單事件關(guān)聯(lián)多事件關(guān)聯(lián)基于邏輯表達(dá)式的規(guī)則目的IP=XX&（目的端口=80||目的端口=8080）基于統(tǒng)計條件的規(guī)則一分鐘內(nèi)某個源IP連續(xù)登錄某個目的IP失敗的次數(shù)大于6次基于邏輯表達(dá)式的規(guī)則事件1：目的IP=XX&（目的端口=80||目的端口=8080）；事件2：目的IP=XX&行為=login；事件1的時間在事件2的時間之前&事件1的目的IP=事件2的源IP

基于統(tǒng)計條件的規(guī)則符合多事件邏輯關(guān)聯(lián)條件的事件在10分鐘反復(fù)出現(xiàn)3次以上49LeadsecConfidential基于規(guī)則的關(guān)聯(lián)：通過事件關(guān)聯(lián)引擎進(jìn)行規(guī)則匹配，識別已知模式的攻擊和違規(guī)基于規(guī)則的事件關(guān)聯(lián)分析50跳轉(zhuǎn)登錄關(guān)聯(lián)規(guī)則WEB入侵關(guān)聯(lián)規(guī)則可視化關(guān)聯(lián)規(guī)則編輯器LeadsecConfidential基于情境的事件關(guān)聯(lián)分析LeadsecConfidential51基于情境的關(guān)聯(lián)：將安全事件與當(dāng)前網(wǎng)絡(luò)和業(yè)務(wù)的實際運(yùn)行環(huán)境進(jìn)行關(guān)聯(lián)，透過更廣泛的信息相關(guān)性分析，識別安全威脅情境感知（Context-Aware）這個IP是什么資產(chǎn)？這個IP重要嗎？這個IP是什么操作系統(tǒng)？這個IP是否有此開放端口？這個IP是否有漏洞？這些IP的網(wǎng)絡(luò)拓?fù)淙绾危抠Y產(chǎn)庫漏洞庫拓?fù)浠谇榫车氖录P(guān)聯(lián)分析：資產(chǎn)關(guān)聯(lián)LeadsecConfidential52基于資產(chǎn)屬性的情境關(guān)聯(lián)基于資產(chǎn)類型的情境關(guān)聯(lián)可以將事件中的IP地址與資產(chǎn)名稱、資產(chǎn)價值、資產(chǎn)類型（包括自定義類型）、自定義資產(chǎn)標(biāo)簽進(jìn)行關(guān)聯(lián)基于情境的事件關(guān)聯(lián)分析：弱點關(guān)聯(lián)LeadsecConfidential53基于弱點的情境關(guān)聯(lián)：將安全事件與該事件所針對的目標(biāo)資產(chǎn)當(dāng)前具有的漏洞信息進(jìn)行關(guān)聯(lián)弱點關(guān)聯(lián)基于情境的事件關(guān)聯(lián)分析：網(wǎng)絡(luò)告警關(guān)聯(lián)LeadsecConfidential54基于網(wǎng)絡(luò)告警的情境關(guān)聯(lián)：將安全事件與該事件所針對的目標(biāo)資產(chǎn)（或發(fā)起的源資產(chǎn)）當(dāng)前發(fā)生的告警信息以及當(dāng)前的網(wǎng)絡(luò)告警信息進(jìn)行關(guān)聯(lián)安全事件與性能事件關(guān)聯(lián)安全事件條件性能事件條件基于情境的事件關(guān)聯(lián)分析：拓?fù)潢P(guān)聯(lián)LeadsecConfidential55基于故障樹的網(wǎng)絡(luò)故障診斷技術(shù)：根據(jù)網(wǎng)絡(luò)故障沿網(wǎng)絡(luò)拓?fù)渌絺鞑サ奶匦裕ㄟ^對大量網(wǎng)絡(luò)告警事件在拓?fù)淇臻g中的分布，以及傳播時間上的順序，自動進(jìn)行網(wǎng)絡(luò)根本故障源（RootCause）診斷的技術(shù)該技術(shù)本質(zhì)上就是一種基于拓?fù)涞氖录P(guān)聯(lián)分析技術(shù)大量故障告警信息診斷分析自動判別告警的根源（交換機(jī)故障導(dǎo)致多個主機(jī)不通）故障拓?fù)浠谛袨榈氖录P(guān)聯(lián)分析LeadsecConfidential56動態(tài)基線技術(shù)預(yù)測分析技術(shù)同比分析對指定IP的事件行為特征（如錯誤比例、拒絕比例、頻度、出現(xiàn)次數(shù)等）進(jìn)行周期性建模，然后將實測值與建模值進(jìn)行比較，判定異常環(huán)比分析根據(jù)指定IP的事件行為特征（如錯誤比例、拒絕比例、頻度、出現(xiàn)次數(shù)等）的歷史值通過預(yù)測算法預(yù)測出未來時間的取值區(qū)間，然后將實測值與預(yù)測值進(jìn)行比較，判定異常細(xì)粒度的動態(tài)周期性行為建模技術(shù)基于多次指數(shù)平滑的行為預(yù)測技術(shù)智能安全知所未知（KnowUnknows）基于行為的事件關(guān)聯(lián)分析的作用57LeadsecConfidential基于規(guī)則的關(guān)聯(lián)技術(shù)與基于異常行為的關(guān)聯(lián)技術(shù)的對比分析Rule-based基于規(guī)則的關(guān)聯(lián)分析模式匹配，準(zhǔn)確性較高需要預(yù)先定義規(guī)則知所已知AbnomalBehavior-based基于異常行為的關(guān)聯(lián)分析推測分析，需要人工核實無需預(yù)先定義規(guī)則，僅需設(shè)定學(xué)習(xí)參數(shù)知所未知結(jié)合使用，相輔相成基于行為的事件關(guān)聯(lián)分析：場景LeadsecConfidential58行為分析場景列表行為分析主體的事件分布情況行為分析主體的分析指標(biāo)變化趨勢柱圖：實測值；曲線：基線值行為分析主體的相關(guān)告警列表下鉆可視化安全事件分析59實時事件分時圖事件拓?fù)鋱D組合統(tǒng)計分析LeadsecConfidential事件多維分析圖可視化安全事件分析LeadsecConfidential60IP地圖在線定位IP地圖離線定位威脅地圖分布從事件分析到流分析61事件采集事件：是對IT基礎(chǔ)設(shè)施工作過程的記錄事件分析的缺陷透過事件難以還原攻擊/違規(guī)的事發(fā)現(xiàn)場事件記錄可能不全，導(dǎo)致難以作出準(zhǔn)確的研判對于安管平臺，僅分析事件是不夠的EventNeverEnough！流：是對IP節(jié)點之間會話信息的記錄流分析的優(yōu)勢流信息能更加詳實地再現(xiàn)攻擊/違規(guī)的事發(fā)現(xiàn)場流分析可以作為事件分析的補(bǔ)充對于安管平臺，不僅要分析事件，還要分析流FlowisComplementary!事件采集流采集LeadsecConfidential安管平臺中的智能流安全分析LeadsecConfidential62SPAN*Flow日志告警事件安管平臺綜合分析與呈現(xiàn)NBA網(wǎng)絡(luò)行為分析是什么？部署在內(nèi)網(wǎng)中，實現(xiàn)內(nèi)網(wǎng)通訊流量的可視化，進(jìn)行網(wǎng)絡(luò)通訊的行為建模，并以此發(fā)現(xiàn)網(wǎng)絡(luò)異常（包括入侵和違規(guī)）長什么樣？硬件盒子，千兆可多路抓包，也可直接采集*Flow【注】可以獨(dú)立部署，也可與安管平臺集成部署核心技術(shù)創(chuàng)新的VFlow（VenusFlow）流描述語言——定義了37個流屬性，還支持屬性擴(kuò)展基于流的行為輪廓（Flow-basedBehaviorProfiling）——基于行為的分析，而非基于特征的分析國內(nèi)第一款流安全合規(guī)產(chǎn)品流分析的本質(zhì)——基于流行為輪廓的分析！流分析的典型應(yīng)用場景LeadsecConfidential63網(wǎng)絡(luò)流量可視化與異常行為檢測對特定網(wǎng)絡(luò)流量的分布進(jìn)行可視化展示與分析通過內(nèi)網(wǎng)流行為建模與分析（而非基于特征），發(fā)現(xiàn)網(wǎng)絡(luò)通訊異常，進(jìn)行APT攻擊輔助研判。例如在一臺應(yīng)用服務(wù)器上發(fā)現(xiàn)FTP服務(wù)，某臺HTTP服務(wù)器的404錯誤驟增，來自罕見源地址的訪問，罕見的訪問協(xié)議，超常的SSH2數(shù)據(jù)外傳，隱藏IP使用，等網(wǎng)絡(luò)流量合規(guī)性檢查基于黑白灰規(guī)則的流行為合規(guī)性分析事先建立好網(wǎng)絡(luò)網(wǎng)絡(luò)流行為規(guī)則，例如誰、什么時段、可以/不可以通過什么協(xié)議、從哪里訪問哪里，然后系統(tǒng)會自動進(jìn)行比對，發(fā)現(xiàn)違規(guī)；還能自動生成規(guī)則持續(xù)資產(chǎn)建模與分析自動識別資產(chǎn)IP、類型、開放端口和組件自動持續(xù)地分析資產(chǎn)的訪問/被訪問行為，并判定資產(chǎn)運(yùn)行了什么服務(wù)、開啟了什么應(yīng)用和端口，和誰通訊最頻繁，等等增強(qiáng)SOC分析深度對重要的安全事件鉆取并展示相關(guān)的流信息，協(xié)助還原事發(fā)現(xiàn)場，進(jìn)行事件追溯分析將流行為和安全事件進(jìn)行交叉關(guān)聯(lián)分析，發(fā)現(xiàn)更深層次的入侵和違規(guī)，并進(jìn)行統(tǒng)一呈現(xiàn)流分布可視化64重要服務(wù)器的進(jìn)出流量重要服務(wù)器各協(xié)議的流量趨勢LeadsecConfidential重要資產(chǎn)對象的應(yīng)用層流量可視化流行為可視化流行為：網(wǎng)絡(luò)中IP/業(yè)務(wù)系統(tǒng)/安全域之間，一段時間內(nèi)的相互網(wǎng)絡(luò)連接關(guān)系的集合連接關(guān)系可視化IP會話可視化業(yè)務(wù)訪問可視化65LeadsecConfidential基于黑白灰規(guī)則的流行為合規(guī)分析66灰規(guī)則：待厘清黑規(guī)則：什么樣的流行為是違規(guī)的白規(guī)則：什么樣的流行為是合規(guī)的規(guī)則比對規(guī)則比對自學(xué)習(xí)手工錄入手工錄入手工錄入分揀分揀流行為合規(guī)性分析LeadsecConfidential基于行為輪廓的灰規(guī)則自學(xué)習(xí)67BehaviorProfile(行為輪廓)基線建模同比分析基于預(yù)測的環(huán)比分析vFlow動態(tài)周期性基線動態(tài)非周期性基線基于流的37元組：ASN、ICMP類型、流量、TCP/IP協(xié)議類型、源/目標(biāo)IP、源/目的端口、TCPFlag、時間戳、持續(xù)時間，等等LeadsecConfidential灰規(guī)則集合主動化的弱點管理與預(yù)警LeadsecConfidential68響應(yīng)與修復(fù)檢測——安全事件分析網(wǎng)絡(luò)監(jiān)控風(fēng)險分析攻擊與違規(guī)發(fā)生配置安全核查漏洞掃描安全威脅預(yù)警被動安全管理主動安全管理安全管理平臺失落的一半……主動化的配置安全核查LeadsecConfidential69JDBCSMBTELNETSSH1SSH2…核查調(diào)度配置采集配置核查符合性評分核查項管理核查告警核查報告網(wǎng)絡(luò)設(shè)備配置主機(jī)配置數(shù)據(jù)庫配置中間件配置應(yīng)用配置安全設(shè)備配置領(lǐng)導(dǎo)安全經(jīng)理核查人員掌握整體配置安全性符合等保要求簽發(fā)核查規(guī)范建立核查模板制定核查任務(wù)計劃出具核查報告執(zhí)行核查任務(wù)修訂核查項手工核查系統(tǒng)內(nèi)置配置核查，能夠主動地獲悉資產(chǎn)和業(yè)務(wù)的配置暴露與脆弱性主動安全主動化的配置安全核查LeadsecConfidential70

主機(jī)操作系統(tǒng)

網(wǎng)絡(luò)設(shè)備無線設(shè)備

安全設(shè)備

數(shù)據(jù)庫

中間件

即時核查

定時核查定期核查

離線核查

帳號

口令

授權(quán)

日志安全要求IP協(xié)議安全要求

端口、協(xié)議安全要求……

SMBSSH/SSH2TELNETJDBC核查代理全面的核查對象細(xì)致的配置核查項豐富的配置采集協(xié)議多樣化的核查方式配置核查檢查項LeadsecConfidential71系統(tǒng)內(nèi)置1600+個核查項Windows核查項配置安全核查報告LeadsecConfidential72配置核查結(jié)果可以導(dǎo)出為WORD、HTML、EXCEL等格式的核查報告，給出核查對象的配置符合性評分，并詳細(xì)說明配置符合情況漏洞掃描：天鏡漏掃引擎集成與調(diào)度LeadsecConfidential73天鏡漏掃引擎管理天鏡漏掃引擎任務(wù)調(diào)度系統(tǒng)能夠?qū)μ扃R漏掃引擎進(jìn)行集中管理，并對天鏡漏掃引擎下發(fā)掃描任務(wù)，收集掃描結(jié)果，統(tǒng)一進(jìn)行漏洞脆弱性分析主動安全綜合脆弱性管理LeadsecConfidential74資產(chǎn)弱點明細(xì)資產(chǎn)弱點：包括了漏洞脆弱性和配置脆弱性兩個部分脆弱性管理集成了配置核查的結(jié)果，稱為“配置脆弱性”，并與漏掃結(jié)果（“漏洞脆弱性”）一并參與“綜合脆弱性”計算安全通告攻擊預(yù)警漏洞預(yù)警病毒預(yù)警影響性分析威脅預(yù)警管理LeadsecConfidential75通過發(fā)布內(nèi)部及外部的早期預(yù)警信息，分析可能受影響的資產(chǎn)，提前了解業(yè)務(wù)系統(tǒng)可能遭受的攻擊和潛在的安全隱患主動安全國家主管機(jī)構(gòu)系統(tǒng)廠商第三方組織安全廠商上級單位外部預(yù)警安全事件內(nèi)部預(yù)警領(lǐng)導(dǎo)安全經(jīng)理運(yùn)維人員掌握整體預(yù)警走勢輔助安全決策制定預(yù)警規(guī)范和策略發(fā)布正式預(yù)警分析受影響的業(yè)務(wù)提交預(yù)備預(yù)警對受影響的資產(chǎn)加固威脅預(yù)警管理LeadsecConfidential76預(yù)警分為內(nèi)部預(yù)警和外部預(yù)警內(nèi)部預(yù)警：產(chǎn)生于系統(tǒng)內(nèi)部通過預(yù)警規(guī)則產(chǎn)生手工觸發(fā)外部預(yù)警：來自系統(tǒng)之外安全通告攻擊預(yù)警漏洞預(yù)警病毒預(yù)警預(yù)警的生命周期管理預(yù)備預(yù)警正式預(yù)警歸檔預(yù)警（失效）預(yù)警信息能夠與網(wǎng)絡(luò)中的IP相關(guān)聯(lián)，進(jìn)行影響性分析通過預(yù)警實現(xiàn)主動的、前攝性的威脅管理可量化的安全風(fēng)險評估77資產(chǎn)風(fēng)險安全域風(fēng)險風(fēng)險評級矩陣分析風(fēng)險趨勢領(lǐng)導(dǎo)安全經(jīng)理評估人員掌握整體風(fēng)險走勢輔助安全決策制定風(fēng)險評估策略分析風(fēng)險出具風(fēng)險分析報告量化風(fēng)險評估實時風(fēng)險監(jiān)測資產(chǎn)信息安全事件弱點信息風(fēng)險評估LeadsecConfidential風(fēng)險評估：安全域/資產(chǎn)風(fēng)險LeadsecConfidential78安全域風(fēng)險矩陣風(fēng)險矩陣：從風(fēng)險的可能性和影響性兩個維度標(biāo)識出安全域中的資產(chǎn)風(fēng)險分布，協(xié)助安全管理員辨識最重要且急需處置的的風(fēng)險資產(chǎn)，并可以對資產(chǎn)進(jìn)行透視分析，探究資產(chǎn)的關(guān)鍵威脅因素重要且緊急象限風(fēng)險評估：資產(chǎn)風(fēng)險明細(xì)和鉆取LeadsecConfidential79資產(chǎn)三性弱點分布威脅因素分布風(fēng)險走勢資產(chǎn)價值、脆弱性和風(fēng)險等級點擊鉆取指標(biāo)化的宏觀安全態(tài)勢感知80關(guān)鍵安全指標(biāo)關(guān)鍵管理指標(biāo)領(lǐng)導(dǎo)安全經(jīng)理掌握整體安全態(tài)勢評估安全管理績效建立指標(biāo)體系評估安全態(tài)勢出具態(tài)勢分析報告態(tài)勢分析資產(chǎn)信息風(fēng)險信息弱點信息安全事件拓?fù)湫畔⑿阅苄畔⒈碚髡麄€網(wǎng)絡(luò)安全運(yùn)行態(tài)勢的指標(biāo)表征整個網(wǎng)絡(luò)安全管理水平的指標(biāo)**關(guān)鍵管理指標(biāo)功能需要根據(jù)客戶實際進(jìn)行定制，不是標(biāo)準(zhǔn)品，默認(rèn)不提供。LeadsecConfidential關(guān)鍵安全運(yùn)行態(tài)勢評價指標(biāo)LeadsecConfidential81安全運(yùn)行態(tài)勢感知地址態(tài)勢熱點分析威脅態(tài)勢通過建立一套表征系統(tǒng)安全狀態(tài)的指標(biāo)和相應(yīng)的數(shù)學(xué)模型，從宏觀上度量全網(wǎng)的安全狀態(tài)，并預(yù)測未來的安全走勢——基于指標(biāo)的網(wǎng)絡(luò)安全態(tài)勢感知安全運(yùn)行的態(tài)勢感知過程也是智能化的安全事件分析過程地址態(tài)勢LeadsecConfidential82首先，針對事件的報送地址進(jìn)行熵值計算，掌握海量事件中的報送地址的離散度隨時間變化的情況；然后，系統(tǒng)根據(jù)預(yù)測模型自動計算地址熵動態(tài)基線，并與實際值比對，記錄地址熵偏差的程度，并形成地址態(tài)勢曲線；以此從宏觀層面刻畫網(wǎng)絡(luò)的安全運(yùn)行態(tài)勢變化趨勢地址態(tài)勢曲線，取值越低越正常，表示偏差小選擇態(tài)勢曲線上的某個點，顯示地址態(tài)勢成因態(tài)勢成因Top10柱圖顯示導(dǎo)致地址熵異常的Top10地址，支持下鉆，實現(xiàn)從宏觀到微觀的鉆取宏觀展示中觀展示微觀展示熱點分析LeadsecConfidential83熱點分析：系統(tǒng)采用聚類算法持續(xù)地從事件的源IP、目的IP、資產(chǎn)類型、事件等級、事件數(shù)目5個維度（向量）朝終端、網(wǎng)絡(luò)和應(yīng)用三個群組進(jìn)行聚類運(yùn)算，找到當(dāng)前一段時間的事件熱點，并進(jìn)行鉆取分析。還支持歷史回放。當(dāng)前一段時間的聚類分析得到的熱點圖點擊可以下鉆威脅態(tài)勢（威脅KPI）LeadsecConfidential84威脅態(tài)勢：通過建立并針對一組關(guān)鍵指標(biāo)體系（KPI，也稱作態(tài)勢成因）計算得到一個威脅指數(shù)，以此來表征一段時間內(nèi)、某個網(wǎng)絡(luò)區(qū)域的網(wǎng)絡(luò)安全威脅狀態(tài)及其發(fā)展趨勢。系統(tǒng)從6個維度建立了一套威脅指標(biāo)體系（威脅成因）威脅指數(shù)威脅指數(shù)曲線威脅成因帕累托圖威脅態(tài)勢：威脅成因鉆取LeadsecConfidential85管理員能夠?qū)ν{態(tài)勢實現(xiàn)從宏觀→中觀→微觀的層層下鉆威脅指數(shù)成因1事件事件成因2事件成因N宏觀中觀微觀威脅指數(shù)對威脅成因進(jìn)行中觀下鉆威脅成因的橫向?qū)Ρ葘ν{成因進(jìn)行微觀下鉆查看導(dǎo)致該成因的事件查看導(dǎo)致該成因的事件關(guān)鍵安全管理水平評價指標(biāo)LeadsecConfidential86指標(biāo)配置文件支持自定義樣本從管理的角度建立一套表征安全管理水平的評價指標(biāo)體系，并通過相應(yīng)的數(shù)學(xué)模型計算某個區(qū)域的安全管理建設(shè)水平關(guān)鍵安全管理水平評價指標(biāo)LeadsecConfidential87豐富的報表與綜合報告系統(tǒng)內(nèi)置大量報表報告模板系統(tǒng)內(nèi)置報表編輯器，管理人員可以根據(jù)需要靈活地定義各種特定的報表支持報表調(diào)度管理，可以定期產(chǎn)生報表報告支持自動發(fā)送電子郵件派發(fā)報表報表/報告可以預(yù)覽、打印、導(dǎo)出，支持EXCEL、PDF、DOC、XML、HTML、CSV等格式88LeadsecConfidential靈活的內(nèi)置報表編輯器用戶可以自定義報表，包括報表樣式、統(tǒng)計內(nèi)容、圖表形式89LeadsecConfidential對用戶網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)影響性最小化管理對象影響性分析無需安裝代理性能數(shù)據(jù)的數(shù)據(jù)采樣時間可調(diào)、粒度可配置日志采集以被動方式為主，不會對管理對象發(fā)起主動連接，不影響管理對象的現(xiàn)有安全機(jī)制網(wǎng)絡(luò)影響性分析旁路部署，無需修改網(wǎng)絡(luò)結(jié)構(gòu)，對網(wǎng)絡(luò)可靠性無影響SOC支持多端口日志采集，減少日志流量的匯聚支持分布式日志采集器部署，日志采集器在上傳日志的時候支持?jǐn)?shù)據(jù)壓縮加密、定時上傳，降低對網(wǎng)絡(luò)帶寬的占用，避開網(wǎng)絡(luò)流量繁忙期支持分布式性能信息采集，并且與管理中心通訊壓縮加密90LeadsecConfidential系統(tǒng)自身安全性保證信息采集日志采集器/性能采集器與管理中心之間采用TCP加密通訊（完整性、私密性）日志采集器支持存儲轉(zhuǎn)發(fā)（可用性）信息存儲存儲原始安全事件（完整性）事件加密混淆存儲，防止非法訪問和篡改（私密性）事件不能修改、刪除（完整性）安全事件定期備份（可用性）系統(tǒng)訪問支持HTTPS協(xié)議（私密性、完整性）采用基于角色的訪問控制機(jī)制用戶身份三權(quán)分立，內(nèi)置系統(tǒng)管理員、安全審計員、用戶管理員支持雙因素認(rèn)證支持Radius、LDAP集成91LeadsecConfidential產(chǎn)品價值四維一體的全網(wǎng)安全管理與運(yùn)維日常安全運(yùn)維工作的有力工具遵照等級化保護(hù)的安全管理要求契合信息安全管理體系的監(jiān)測與評審要求92LeadsecConfidential四維一體的全網(wǎng)安全管理與運(yùn)維93LeadsecConfidential日常安全運(yùn)維工作的有力工具94重要信息應(yīng)用主機(jī)網(wǎng)絡(luò)SOC安全管理平臺運(yùn)行監(jiān)視應(yīng)急處置報表報告審計追蹤調(diào)查取證人員非法訪問控制非法或不當(dāng)操作惡意代碼攻擊入侵違規(guī)與信息泄露性能故障LeadsecConfidential符合等級保護(hù)基本要求的安管平臺方面類第一級第二級第三級第四級技術(shù)要求

物理安全

物理安全監(jiān)控與告警物理安全監(jiān)控與告警網(wǎng)絡(luò)安全拓?fù)涔芾硗負(fù)涔芾碓O(shè)備和應(yīng)用監(jiān)控IP地址管理安全審計拓?fù)涔芾碓O(shè)備和應(yīng)用監(jiān)控IP地址管理安全審計流量監(jiān)控地址欺騙監(jiān)控拓?fù)涔芾碓O(shè)備和應(yīng)用監(jiān)控IP地址管理安全審計流量監(jiān)控地址欺騙監(jiān)控主機(jī)安全

安全審計安全審計資源監(jiān)控安全審計資源監(jiān)控應(yīng)用安全

安全審計安全審計資源監(jiān)控安全審計資源監(jiān)控數(shù)據(jù)安全信息完整性保護(hù)信息完整性保護(hù)信息完整性保護(hù)信息完整性保護(hù)管理要求

系統(tǒng)運(yùn)維管理資產(chǎn)管理資產(chǎn)管理設(shè)備管理網(wǎng)絡(luò)監(jiān)控設(shè)備配置信息監(jiān)控日志審計告警事件存儲資產(chǎn)管理物理環(huán)境監(jiān)控設(shè)備管理網(wǎng)絡(luò)監(jiān)控設(shè)備配置信息監(jiān)控日志審計告警事件統(tǒng)計安全管理中心權(quán)限管理資產(chǎn)管理物理環(huán)境監(jiān)控設(shè)備管理網(wǎng)絡(luò)監(jiān)控設(shè)備和應(yīng)用配置信