【正文】 at Events sources 表示一個事件 ? 過濾 ? 冗余處理 ? 歸納分類 ? 綁定環(huán)境 ? 雜亂的事件 ? 長短一致 ? 顏色分類 ? 攻擊場景匹配 29 9/10/01 5： 05： 29 PM， %PIX6106015： Deny TCP（ no connection） from 20230820 16:12:56|doldrgn1|dragonserver||11711||1031|AP|6| Tcp,sp=11711,dp=1031,flags=AP| Product Name ET SIP SP DIP DP Location Dept services OS PIX_FW Beijing Finance HTTP WIN2000 IDS Shanghai Market SMTP SOLARIS PIX Firewall – standard syslog format IDS – Data Items separated by pipes EVENTS Table Normalization Business Relevance 9/10/01 5： 05： 29 PM 20230820 16:12:56 2182 63228 11711 1031 安全事件管理 —— 事件標準化 30 ? 系統(tǒng)支持 二級過濾功能，大量的噪音數(shù)據(jù)可以在 Agent端直接丟棄，在管理服務器端還可以進行進一步的過濾以減少數(shù)據(jù)庫的壓力。 – 自動匯聚并關聯(lián) 事件、日志和安全漏洞 ? 為多廠商環(huán)境提供廣泛的設備支持，包括安全性、網(wǎng)絡、主機和應用 – 以資產為中心的事故識別 – 自動 滿足行業(yè)規(guī)范和規(guī)章制度 的要求 ? 基于政策方針和規(guī)章制度的行為監(jiān)控與報告 – 最大限度地優(yōu)化安全資源利用率 ? 從數(shù)據(jù)收集和關聯(lián)直到行為和報告，實現(xiàn)安全管理的全程自動化的 過程。并且有趨勢，變得更加龐大，會整合進更多的安全功能進行集中的安全管理。它提供安全的集中運營，包括安全研究 、安全評估、安全策略制定、安全集中監(jiān)視、安全響應、安全設備配置等。首頁 天融信 SOC安全運營中心介紹 高級安全顧問：陶越 2 題綱 ?SOC背景及基礎 ?TSM安全運營中心 ?TSM系統(tǒng)特點 3 SOC相關名詞術語 ? SOC（ Security Operatings Center）安全運營中心 /安全管理平臺 ? SIM（ Security Information Management）安全信息管理 ? SEM（ Security Events Management）安全事件管理 ? SIEM（ Security Information and Events Management）安全信息與事件管理 ? LM（ Log Management）日志管理 ? SMC（ Security Management Center）安全管理中心 ? MSS （ Managed Security Service ）可管理的安全服務 /安全托管服務 ? MSSP（ Managed Security Service Provider） 安全托管服務提供商 ? MNS（ Managed Network Service）可管理的網(wǎng)絡服務 /網(wǎng)絡托管服務 ? NOC（ Network Operatings Center）網(wǎng)絡運營中心 4 SOC ? 命名來源于 NOC，概念來源于 MSS ? 國際一般指 SOC是一個中心，有固定的場所，有一個技術支撐平臺 、有大屏幕系統(tǒng)、 有組織人員 、有一套運營的流 程，為第三方提供安全管理 服務 。 13 SOC技術 ? SOC是 MSS實現(xiàn)的基礎，它的構建包括：人員（安全專家）、工具、流程、地點及物理設施（網(wǎng)絡、監(jiān)視屏）等。 ? 它的功能覆蓋了很多細分產品的功能如： SIEM、設備管理、漏洞管理、合規(guī)性及風險管理等。 網(wǎng)絡監(jiān)控管理 TopNoc 安全信息管理 TopAnalyzer 策略統(tǒng)一管理 TopPolicy 內網(wǎng)合規(guī)性 TopDesk TSM統(tǒng)一管理、監(jiān)控、調度服務臺 天融信 TSM一體化安全運維解決方案 19 天融信 TSM安全運營中心 ? TSM是安全信息和事件管理平臺，設計用于提高機構安全運維部門、安全管理的效力、效率和可視性。把原來審計系統(tǒng)的事后審計轉變?yōu)閷崟r的分析。 系統(tǒng)不可用 Firewall? HOST? DB? Web Server ? TSM 關聯(lián)分析 主機應用異常導致服務問題 1. S0:正常 2. E0:應用系統(tǒng)異常事件（ From Application Host） 3. E1:防火墻異常事件 4. E2:數(shù)據(jù)庫系統(tǒng)異常事件 5. S1:系統(tǒng)部分異常 6. E3:WEB服務異常事件 7. S2:WEB SERVER出現(xiàn)異常 8. E4:狀態(tài)超時 9. 由于 XX（ E0,E1,E2,E3）原因導致的服務異常 32 關聯(lián)分析可加速問題定位、提高系統(tǒng)可用性 33 ? 基于規(guī)則的關聯(lián)分析： ? 將可疑的安全活動場景（暗示某潛在安全攻擊行為的一系列安全事件序列）加以預先定義。 ? 基于廣義漏洞的關聯(lián)分析： ? 安全事件能同網(wǎng)段的相應漏洞進行關聯(lián)，判斷可能造成的不良影響。s StoneGate Secure Computing39。 網(wǎng)絡管理 42 ? 網(wǎng)絡管理可以對掃描到的所有網(wǎng)絡設備進行管理，包括 IP地址、端口、鏈路、 VLAN 、數(shù)據(jù)統(tǒng)計等。 多種角色的支持 46 ? TopAnalyzer系統(tǒng)采用 J2EE的體系架構設計，可以提供基于 B/S架構的管理界面，無須用戶安裝客戶端軟件。包括：功能模塊、數(shù)據(jù)庫、 Agent、系統(tǒng)負荷、系統(tǒng)組件等狀態(tài)的監(jiān)控。 ? 提供對系統(tǒng)運行各 組件 的各種 狀態(tài) 信息的 監(jiān)