一、SOC功能概述
| 功能名称 | 简介 | 内部数据来源 | 外部数据来源 | 接口 |
| 事件管理 | 安全事件管理主要完成对事件的集中收集、管理和分析。主要的功能包括事件收集、事件集中处理和实时关联分析。 事件处理和关联分析主要负责对事件进行标准化、集中存储、合并、关联分析和统计。 对于事件的过滤、归并、关联分析, SOC提供了丰富的脚本定义语言,能定义任何符合用户需求的规则。 | 防火墙 入侵检测 UNIX主机 防毒 Windows主机 网络设备 其他安全产品 | 文件方式 SNMP trap Syslog ODBC 网络SOCKET OPSEC 第三方agent | |
| 漏洞管理 | 漏洞管理实现对扫描任务、扫描报告的定制和查看,可以展现漏洞名称、漏洞影响端口、漏洞严重级别、漏洞相关资产以及漏洞处理的相关措施,为企业安全管理评估加固工作提供详细数据。 | 扫描器 | XML | |
| 配置管理 | 配置管理可以提供对系统配置信息的分析和安全基线评估工作,并支持对配置脆弱性信息的自动审核和人工审核功能,从而更全面地记录资产本身存在的脆弱性信息。 | UINIX主机 网络设备 Windows主机 防火墙 | telnet SSH | |
| 变更管理 | 变更管理检查计算机系统的文件、端口、进程等的变化信息,以监控系统的变更状况发现其中的异常,以便及时采取相应措施保护系统安全。变更管理由变更检查、检查报告、任务管理、策略管理组成。 | UINIX主机 网络设备 Windows主机 防火墙 | telnet SSH | |
| 资产管理 | 资产管理主要功能包括对资产信息的维护和业务系统信息的维护,另外还包括对资产的启用/停用、资产口令的设置(主要是为配置管理和变更管理提供登录信息)、资产信息的导入/导出、预备资产的管理、自定义资产属性、资产发现等功能。 | NMAP 扫描器 | ||
| 告警管理 | SOC的首要目标是从海量的攻击事件中,发现正在或将要影响系统、网络或应用的安全问题。以事件告警为例: a) 定义事件匹配方向,分为“先源,然后目标,最后设备地址;仅目标地址;仅设备;全部”四种 b) 定义分析的事件范围,可以通过过滤器设定 c) 选择是否关联,即是否启用定损关联 d) 是否要启用告警触发条件,如按名称、级别一分钟达到60条,才产生告警 e) 设置最终产生的告警名称和级别 f) 是否要做告警追加,即如果已有此种告警,不产生新的告警,只计数量,告警追加条件包括告警名称、告警规则、严重级别、事件分类、事件子类、事件名称 | 事件管理 漏洞管理 配置管理 变更管理 运行状态管理 | Message | |
| 风险计算 | SOC提供了三种风险,它们分别是资产风险、业务系统风险和地域风险。在业务系统和地域风险中,会列出这一区域整体风险概览,包括最近30天告警变化趋势图、告警分类柱状图和最近5条告警列表 | 资产管理 告警管理 | ||
| 运行状态管理 | 设备状态管理是对SOC内资产运行状态的监控,监控的内容包括可达率、平均响应率、CPU使用率、内存使用率、接口使用率。通过计算评估设备的整体健康值,如果健康值低于一定的值,就产生不同级别的告警,设备健康告警可在统计告警规则中的综合规则设定。考虑到可能无法获取设备运行状态中的某项数据,所以在计算健康值时,可以设定参与计算的运行状态项目。 | 支持SNMP query的UINIX/网络设备/防火墙等 | SNMP query | |
| 安全知识管理 | SOC的知识库包括安全知识、预处理手册和安全公告三部分。知识库既能帮助用户理解各种复杂的安全咨讯,又能向用户提供安全问题的处理建议,同时也是用户重要的学习园地。 | |||
| KPI | KPI体系是从日常安全管理需求的角度出发,制定出若干安全信息分析方法,并提供进一步的安全风险等级。KPI是安氏对安全事件分析方法的总结,可以根据用户需求,进行灵活启用和定义。 KPI的核心在于以下几个方面: ●从管理需求出发,而非从事件等安全信息出发 ●必须得出有效的等级,每个等级对应一个改进措施 ●不同类型的事件采用不同的分析方法(即不同KPI计算方法) ●KPI适用于资产和业务系统 | 事件管理 漏洞管理 配置管理 变更管理 运行状态管理 | ||
| 安全预警 | 对系统的预警进行管理,主要提供安全警告信息的存储及发布,包括增加、修改、删除等,也可以对预备预警进行相应的处理,如转正式预警或删除。创建预警后可以短信,邮件等方式通知相关人员。 | 告警管理 | ||
| 安全工单 | SOC建立了内嵌的工作流系统,该系统专门针对安全告警生成工单的处理流程进行跟踪,有效协助问题解决。 | 告警管理 | ||
| 报表管理 | 建立了基于web的报表中心,用户可以方便地根据自身需求定制报表;SOC可以按用户的要求,事先生成报表,用户在查看报表时,可以获得极高的响应速度;支持报表订阅服务,按用户的订阅要求,SOC可以向用户推送报表。 | 数据库 |
1、事件处理流程
2、配置收集流程
3、变更处理流程
4、漏洞扫描流程
Copyright © 2019-2025 51dongshi.net 版权所有
违法及侵权请联系:TEL:177 7030 7066 E-MAIL:11247931@qq.com 本站由北京市万商天勤律师事务所王兴未律师提供法律服务
