SOC平台功能分析

转载

千与千寻12 2011-10-12 18:05:46

?市场上主流的SOC平台
?东软SOC
?华三的SecCenter
?天融信的Top Analyser & TSM
?联想网御
?安氏
?ArcSight ESM
?Cisco SIMS&MARS
?RSA
?产品规划
?SOC产品的价值
?TSOC的不足
?短期和长期规划

东软 SOC架构

?数据采集层：根据要求从网络设备、安全设备、主机系统等数据来源采集各种安全信息。
? 数据处理层：将采集到的原始安全信息进行关联分析处理，实现格式标准化，根据策略进行数据归并和压缩后，存储到数据库中。
?应用服务层：从数据库中提取信息，按照策略完成数据的过滤、条件分析，为展示平台提供数据支持；同时还是展示平台进行资源配置的接口。
?展示平台层：实现NetEye安全运维平台的统一界面展示。通过统一的图形化管理界面，NetEye安全运维平台实现了安全监控、维护、管理、展示的全部功能。

?资产管理
?脆弱性管理
?风险管理
?安全信息监控
?策略管理
?工单管理
?知识库管理
?安全预警
?故障信息显示
?报表
?关联分析

优点:
?安全域管理
?资产管理信息丰富
?设备控制功能

不足
?工作流的功能比较弱
?配置比较复杂
?关联分析功能的预期效果比较差
?SIMS的配置和SMC分离

二、华三 SecCenter：
?SecCenter的核心价值体现在于其事件关联功能上；
?数据采集协议支持：NetStream、NetFlow、CFlow、Syslog、Windows WMI、ODBC
?定位于SIEM，不是SOC
?监控
?事件关联分析
?网络的拓扑展示

TSOC与华三的比较

优点：
?风险分析
?脆弱性管理
?安全域的管理概念
?工作流

不足：
?综合监控的信息不明了
?关联分析不足
?网络管理能力不足
?引擎配置没有整合到SMC中
?引擎支持的日志收集格式较少

三、天融信 TSM

?TSM（Trust Network Security Management System）是天融信新一代网络安全综合管理平台。
?TSM采用代理+服务器+管理器的三层结构。
?资产管理
?网络拓扑管理
?策略管理
?监控
?事件智能检测
?事件分析
?TopAnalyzer 作为soc 中心的软件平台，以风险管理为核心，资产管理为基础，事件管理为主线，辅以有效的管理、监视与响应功能，为用户构建动态的可信安全管理体系。
?事件管理
?安全分析与报表
?资产管理
?知识库
?实时监控
?关联分析
–基于专家系统的辅助决策系统
–基于规则的安全响应与报警
?全局内风险管理与计算
?工单管理

TSOC和TopAnalyser的比较

优点：
?脆弱性管理
?资产信息丰富
?报表内容比较丰富

不足：
?实时监控的展示形式不丰富
?关联分析不足
?引擎配置没有整合到SMC中
?设备控制相对较弱
?数据库支持不广泛

五、联想网御-安全管理平台

?联想网御针对对企业信息安全比较重视的中高端用户推出的第三代安全管理平台定位于集中设备监控和全局审计分析，是网络安全的中枢神经系统，也是联想网御信息安全解决方案的核心。
?设备管理
?设备监控
?告警管理（告警关联）
?日志审计
?资产管理
?策略管理（防火墙和×××的策略配置）
?风险管理
?级联管理（多级）

TSOC与联想网御的比较

优点：
?脆弱性管理
?安全域的管理概念
?工作流
?丰富的知识库
?强大的关联分析功能

不足：
?引擎配置没有整合到SMC中
?缺少日志审计功能
?缺少设备策略配置功能
?只有SIMS的多级部署

六、安氏 SOC

?资产管理
?风险管理
?脆弱性管理
?工单预警
?统计分析（关联分析）
?知识库管理
?指标管理

七、Cisco SIMS

?是一个安全信息管理（SIM）应用程序，它可实现与多种不同安全产品之间的异种机互操作性，因此可使网络管理人员集中监控、管理和监督企业网络的安全性。
?范式化后的9中事件：
–访问 / 身份验证 / 授权
–应用程序盗用
–配置 / 系统状态
–拒绝服务
–躲避
–违反政策
–侦察企图
–未知 / 可疑
–病毒 / 特洛伊木马

?风险和威胁分析评估
?监控
?事件响应管理
?多级关联
?知识库
?CS-MARS:(Cisco Security Monitoring, Analysis and Responder System)
?定义了事件被处理的流程（8个步骤）
?充分利用了网络拓扑的属性，来减少误报、发现网络热点、找到最佳防御点和提高证据分析能力
?智能网络拓扑发现
?事件进程化管理
?风险关联分析
?流量异常分析
?误报分析
?安全预警与响应
?脆弱性评估
?报表

八、Arcsight ESM

ArcSight 体系结构：可满足世界上规模最大的、安全性能要求最高的网络的需要

–ArcSight ESM 的扩展不仅限于单级部署，多级和对等方式部署也能够很好的进行扩展。因此，您可以采用最适合您企业的方式进行部署，无论是部署单个安全营运中心 (SOC)，还是部署地理位置分散、相互间必须不断共享信息的多个安全营运中心。

?事件监控
?响应处理
?智能关联
?合规性报告
?多级部署
?支持Discovery分析工具

八、RSA Envision

?关联预警
?审计管理
?安全事件管理
?行为合规性检测
?实时监控
?预警（与基线做比较）
?基线管理
?脆弱性分析集成

九、竞争对手功能对比表

十、SOC产品的价值

?客户的价值
–从众多安全事件中分析网络的安全状况，进行从宏观到微观的展示。
–可以定位出安全事件的焦点，可以做到逐步钻取的达到准确定位。
–提供给客户一份安全/合规性报告。
–是否可以提供深度的事后数据挖掘。
?企业内部的价值
–为企业的安全产品提供整体的解决方案。
–为公司提供和大客户和战略客户合作提供基础

十一、SOC发展方向

?实时监控
?关联分析
?数据智能挖掘
?威胁管理
?风险管理
?等级保护
?综合审计
?数据存储

十二、TSOC现在的状况

?SIMS引擎数据采集分类不合理
?功能全，但是不精
?产品业务流程混乱
?界面的监控显示不突出
?报表的内容太苍白
?用户的网络安全宏观监控没有
?配置部署太复杂
?模块化程度不高，产品和定制开发成本高

十三、产品规划目标

?短期目标
–加强TSOC的市场竞争力(核心功能）
–补充从前方来的客户需求
?长期目标
–立足核心功能，深度发展核心功能
–建立架构灵活的SOC产品平台，降低产品和定制开发成本
–产品线细分/多样化
–在国内的SOC竞争（技术）中应该处于NO.1

十四、产品短期规划
?TSOC3.0.8.0
–引进基线管理，让系统可以在事件、流量方面可以通过学习过程，建立标准区域基准。
–通过对比区域基准，来做全局的整体网络安全、流量异常分析展示。
–对全局的展示，可以进行数据钻取，从整体→局部→设备→事件，来准确定位事件。
–增加安全报告，在内容和格式上改进。
–改进关联分析子系统。
–增加3个分析模块（地址熵、三元组和热点）
–核心功能模块和定制开发模块组件化或者模块化

?TSOC3.0.9.0
–SIMS和SMC的整合
–多级管理
–引入VWP平台组件
–部分功能模块化（主要集中在定制开发模块多的功能）
–网络拓扑

十五、产品长期规划

?产品架构重新设计，做到灵活可拆分。尽量做到系统可以与WEB服务器无关和数据库系统无关。
?做一个产品基础平台-威胁管理
–综合监控
–基线管理
–流量管理
–关联分析
–知识库
–报表

?在产品平台基础上开发风险管理平台
–资产管理
–风险管理
–脆弱性管理
?在产品平台基础上开发审计平台
–合规性报表
?在产品平台的基础上开发等级保护平台
–风险域管理
–等级保护
–网络拓扑

十六、产品的规划