【正文】 應(yīng)用系統(tǒng)： 操作系統(tǒng)： 網(wǎng)絡(luò) TXT/XML等格式 與漏洞掃描系統(tǒng)的整合 37 ? 支持的響應(yīng)方式主要有 : ? 命令行告警 ? 輔助決策聯(lián)動命令 ? 陷阱導(dǎo)入 ? 交換機(jī)端口啟用、禁用操作 ? 防火墻阻斷 ? 發(fā)送郵件 ? 鈴聲告警 ? SNMP Trap方式告警 ? TopDesk補(bǔ)丁升級 ? TopDesk防火墻阻斷 ? TopPolicy防火墻阻斷 ? 聲光報(bào)警 ? 聲音報(bào)警 ? WinPop告警 ? 工單處理 ? 短消息 事件響應(yīng)管理 38 ? 用戶選擇需要輔助決策處理的事件，系統(tǒng)將會自動為其匹配決策，并由用戶決定是否執(zhí)行決策中的響應(yīng)腳本。 24 綜合監(jiān)控 ? 監(jiān)視儀表盤能做什么？ —— 全局動態(tài)展現(xiàn)網(wǎng)絡(luò)中安全事件； ? 監(jiān)視儀表盤的特點(diǎn)？ —— 安全運(yùn)維的窗口； 25 資產(chǎn)管理 ? 分析和評估資產(chǎn)的風(fēng)險和價值，并通過對關(guān)鍵資產(chǎn)的實(shí)時監(jiān)控，以及對資產(chǎn)所產(chǎn)生的事件進(jìn)行風(fēng)險分析和處理 ,從而維護(hù)企業(yè)中各種資產(chǎn)的安全性 ； ? 資產(chǎn)分類包括 : ? 資產(chǎn)類型 ? 資產(chǎn)物理位置 ? 資產(chǎn)用戶管理 ? 資產(chǎn)分組管理 26 風(fēng)險管理 27 安全事件處理流程 Event Database Agent VPN Virus HIDS NIDS Firewall Database Router Switch Server Knowledge Database Raw Data Information Key Information Action Expert Manager 1 Manager 2 Advisor Knowledge Console 呼叫中心 安全管理員 ① 歸一化 ② 過濾 ③ 歸并 100萬 Events 1 萬 Events 1百 Events 28 事件整合流程 Denial of Service Worm antivirus Normal/Benign Threat Events sources 表示一個事件 ? 過濾 ? 冗余處理 ? 歸納分類 ? 綁定環(huán)境 ? 雜亂的事件 ? 長短一致 ? 顏色分類 ? 攻擊場景匹配 29 9/10/01 5： 05： 29 PM， %PIX6106015： Deny TCP（ no connection） from 20230820 16:12:56|doldrgn1|dragonserver||11711||1031|AP|6| Tcp,sp=11711,dp=1031,flags=AP| Product Name ET SIP SP DIP DP Location Dept services OS PIX_FW Beijing Finance HTTP WIN2000 IDS Shanghai Market SMTP SOLARIS PIX Firewall – standard syslog format IDS – Data Items separated by pipes EVENTS Table Normalization Business Relevance 9/10/01 5： 05： 29 PM 20230820 16:12:56 2182 63228 11711 1031 安全事件管理 —— 事件標(biāo)準(zhǔn)化 30 ? 系統(tǒng)支持 二級過濾功能，大量的噪音數(shù)據(jù)可以在 Agent端直接丟棄，在管理服務(wù)器端還可以進(jìn)行進(jìn)一步的過濾以減少數(shù)據(jù)庫的壓力。并且有趨勢，變得更加龐大，會整合進(jìn)更多的安全功能進(jìn)行集中的安全管理。首頁 天融信 SOC安全運(yùn)營中心介紹 高級安全顧問：陶越 2 題綱 ?SOC背景及基礎(chǔ) ?TSM安全運(yùn)營中心 ?TSM系統(tǒng)特點(diǎn) 3 SOC相關(guān)名詞術(shù)語 ? SOC（ Security Operatings Center）安全運(yùn)營中心 /安全管理平臺 ? SIM（ Security Information Management）安全信息管理 ? SEM（ Security Events Management）安全事件管理 ? SIEM（ Security Information and Events Management）安全信息與事件管理 ? LM（ Log Management）日志管理 ? SMC（ Security Management Center）安全管理中心 ? MSS （ Managed Security Service ）可管理的安全服務(wù) /安全托管服務(wù) ? MSSP（ Managed Security Service Provider） 安全托管服務(wù)提供商 ? MNS（ Managed Network Service）可管理的網(wǎng)絡(luò)服務(wù) /網(wǎng)絡(luò)托管服務(wù) ? NOC（ Network Operatings Center）網(wǎng)絡(luò)運(yùn)營中心 4 SOC ? 命名來源于 NOC，概念來源于 MSS ? 國際一般指 SOC是一個中心，有固定的場所，有一個技術(shù)支撐平臺 、有大屏幕系統(tǒng)、 有組織人員 、有一套運(yùn)營的流 程，為第三方提供安全管理 服務(wù) 。 ? 它的功能覆蓋了很多細(xì)分產(chǎn)品的功能如： SIEM、設(shè)備管理、漏洞管理、合規(guī)性及風(fēng)險管理等。把原來審計(jì)系統(tǒng)的事后審計(jì)轉(zhuǎn)變?yōu)閷?shí)時的分析。 ? 基于廣義漏洞的關(guān)聯(lián)分析： ? 安全事件能同網(wǎng)段的相應(yīng)漏洞進(jìn)行關(guān)聯(lián)，判斷可能造成的不良影響。 網(wǎng)絡(luò)管理 42 ? 網(wǎng)絡(luò)管理可以對掃描到的所有網(wǎng)絡(luò)設(shè)備進(jìn)行管理，包括 IP地址、端口、鏈路、 VLAN 、數(shù)據(jù)統(tǒng)計(jì)等。包括：功能模塊、數(shù)據(jù)庫、 Agent、系統(tǒng)負(fù)荷、系統(tǒng)組件等狀態(tài)的