0371-60127539
400-6620-135
  • 態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)
    態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)
    態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)(簡(jiǎn)稱NGSOC)以大數(shù)據(jù)平臺(tái)為基礎(chǔ),通過收集多元、異構(gòu)的海量日志,利用關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)、威脅情報(bào)等技術(shù),幫助政企客戶持續(xù)監(jiān)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì),實(shí)現(xiàn)從“被動(dòng)防御”向“積極防御”的進(jìn)階,為安全管理者提供風(fēng)險(xiǎn)評(píng)估和應(yīng)急響應(yīng)的決策支撐,為安全運(yùn)營(yíng)人員提供威脅發(fā)現(xiàn)、調(diào)查分析及響應(yīng)處置的安全運(yùn)營(yíng)工具,已在多家大型政企單位落地實(shí)踐。

產(chǎn)品介紹

產(chǎn)品介紹


態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)(簡(jiǎn)稱NGSOC)以大數(shù)據(jù)平臺(tái)為基礎(chǔ),通過收集多元、異構(gòu)的海量日志,利用關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)、威脅情報(bào)等技術(shù),幫助政企客戶持續(xù)監(jiān)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì),實(shí)現(xiàn)從“被動(dòng)防御”向“積極防御”的進(jìn)階,為安全管理者提供風(fēng)險(xiǎn)評(píng)估和應(yīng)急響應(yīng)的決策支撐,為安全運(yùn)營(yíng)人員提供威脅發(fā)現(xiàn)、調(diào)查分析及響應(yīng)處置的安全運(yùn)營(yíng)工具,已在多家大型政企單位落地實(shí)踐。



核心功能


1、數(shù)據(jù)采集與存儲(chǔ)

支持國(guó)內(nèi)數(shù)家廠商的幾十種常見設(shè)備的自動(dòng)解析、過濾、富化、內(nèi)容轉(zhuǎn)譯、歸一化,支持通過Syslog、DB、SNMP、Netflow、API接口、鏡像流量、文件等多種采集方式。


2、威脅情報(bào)

基于威脅情報(bào)領(lǐng)域少有的數(shù)據(jù)優(yōu)勢(shì)和技術(shù)優(yōu)勢(shì),將云端大量的情報(bào)經(jīng)過專業(yè)團(tuán)隊(duì)層層篩選后,將有價(jià)值的失陷情報(bào)源源不斷的推送至NGSOC,并將其應(yīng)用于關(guān)聯(lián)分析、日志匹配等場(chǎng)景。


3、機(jī)器學(xué)習(xí)

機(jī)器生產(chǎn)DGA域名,其廣泛應(yīng)用于勒索軟件、僵尸網(wǎng)絡(luò)、遠(yuǎn)控木馬。通過機(jī)器學(xué)習(xí)中一種基于自動(dòng)對(duì)數(shù)據(jù)進(jìn)行表征學(xué)習(xí)的方法,無需人工提取特征?;诤A康挠蛎麡颖?。通過有監(jiān)督式特征學(xué)習(xí)和分層特征提取高效算法來發(fā)現(xiàn)惡意域名。在真實(shí)客戶場(chǎng)景中通過DGA檢測(cè)域名檢測(cè)技術(shù)成功發(fā)現(xiàn)多起APT事件和勒索病毒。


4、威脅建模

搭載分布式流式關(guān)聯(lián)分析引擎Sabre,提供多元異構(gòu)數(shù)據(jù)關(guān)聯(lián)分析、靈活威脅建模、豐富的告警上下文信息展示及分布式橫向擴(kuò)展能力。


5、流量檢測(cè)

通過全流量檢測(cè)技術(shù),可還原數(shù)十種網(wǎng)絡(luò)協(xié)議,對(duì)失陷主機(jī),網(wǎng)絡(luò)入侵,網(wǎng)絡(luò)病毒,異常流量、DDoS攻擊等進(jìn)行精準(zhǔn)檢測(cè)。


6、態(tài)勢(shì)感知

NGSOC可提供六個(gè)展示內(nèi)網(wǎng)態(tài)勢(shì)感知的大屏視圖:資產(chǎn)風(fēng)險(xiǎn)態(tài)勢(shì)視圖、外部威脅態(tài)勢(shì)感知、內(nèi)網(wǎng)威脅態(tài)勢(shì)感知、全網(wǎng)漏洞態(tài)勢(shì)、業(yè)務(wù)資產(chǎn)主動(dòng)外連態(tài)勢(shì)和安全運(yùn)營(yíng)態(tài)勢(shì),分別從不同的安全運(yùn)營(yíng)角度對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行呈現(xiàn)。


7、威脅預(yù)警

當(dāng)出現(xiàn)重大網(wǎng)絡(luò)安全事件時(shí),通過下發(fā)威脅預(yù)警包,幫助用戶掌握是否遭受到攻擊,失陷的設(shè)備包括哪些,業(yè)務(wù)是否受到影響,網(wǎng)絡(luò)攻擊走向,如何應(yīng)急處置。


8、資產(chǎn)風(fēng)險(xiǎn)管理

通過結(jié)合資產(chǎn)價(jià)值、脆弱性信息、威脅信息,對(duì)全網(wǎng)資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估,量化風(fēng)險(xiǎn)指標(biāo),幫助用戶更好了解和掌控安全風(fēng)險(xiǎn),為用戶提供有力的決策支撐。


9、持續(xù)監(jiān)測(cè)

通過從宏觀到微觀的分析思路,基于平臺(tái)強(qiáng)大的PB級(jí)數(shù)據(jù)查詢和關(guān)聯(lián)分析能力,采用強(qiáng)大的流式關(guān)聯(lián)分析能力,結(jié)合豐富的內(nèi)置BI組件用于自定義可視化視圖,將威脅以安全人員的處置視角完美呈現(xiàn)在監(jiān)控面板和分析面板之上,有助于分析人員持續(xù)監(jiān)控威脅、發(fā)現(xiàn)線索、下鉆分析,從而極大提升了企業(yè)威脅可視及處置的能力和效率。


10、異常行為分析

將多年在客戶側(cè)積累的多個(gè)重點(diǎn)場(chǎng)景通過場(chǎng)景化視圖直觀呈現(xiàn)給用戶,針對(duì)于企業(yè)客戶經(jīng)常遇到的一些安全場(chǎng)景,平臺(tái)進(jìn)行了重點(diǎn)抽象,并且把它做成了一個(gè)內(nèi)置的一個(gè)整體的分析場(chǎng)景,如內(nèi)網(wǎng)安全、安全賬號(hào)安全、異地登陸安全等一些常見場(chǎng)景,輔助安全運(yùn)營(yíng)/分析人員進(jìn)行綜合判斷,提升處置效率。


11、攻擊回溯

在海量的數(shù)據(jù)中進(jìn)行重點(diǎn)的攻擊、重點(diǎn)事件回溯的過程是很常見的場(chǎng)景,在業(yè)界提出了冷熱數(shù)據(jù)的概念,對(duì)于發(fā)生的高頻查詢數(shù)據(jù)通過熱數(shù)據(jù)模式存儲(chǔ),整體的數(shù)據(jù)搜索方面會(huì)支持百億級(jí)的數(shù)據(jù)秒級(jí)檢索,具有很大優(yōu)勢(shì)。對(duì)于超出這個(gè)時(shí)間范圍的數(shù)據(jù)進(jìn)行冷數(shù)據(jù)存儲(chǔ)。常見的比如一些合規(guī)性要求比較高的客戶,搜索頻率會(huì)比較低并且搜索時(shí)間要求也寬松,建設(shè)成本低收益好。


12、調(diào)查取證

調(diào)查分析是由人、數(shù)據(jù)和工具組成的一個(gè)三維的協(xié)同聯(lián)動(dòng)過程。

人:主要是指本地或遠(yuǎn)程的一些具有攻防知識(shí)的專家團(tuán)隊(duì)的支持。

數(shù)據(jù):提供基于公司在多維信譽(yù)、檢測(cè)手段和威脅情報(bào)方面的積累。結(jié)合多維度數(shù)據(jù)關(guān)聯(lián)分析引擎。將整個(gè)的威脅事件,通過一個(gè)平鋪和鳥瞰的視角去觀察整個(gè)的威脅現(xiàn)狀、威脅的蔓延情況、威脅的分布情況以及威脅的嚴(yán)重情況等。

工具:基于攻擊鏈、調(diào)查分析系統(tǒng)、威脅歸并分析等豐富的輔助判斷工具來協(xié)助人更深入的、多角度的研判威脅。


13、攻擊鏈分析

根據(jù)攻擊的步驟,平臺(tái)根據(jù)洛克希德馬丁的攻擊鏈階段將調(diào)查分析結(jié)果通過時(shí)間和階段兩個(gè)維度進(jìn)行呈現(xiàn),將紛繁復(fù)雜的告警進(jìn)行有效歸納,在偵查跟蹤階段就可以做到預(yù)先防護(hù),在載荷投遞階段就可以重點(diǎn)防護(hù),在通訊控制階段就可以快速響應(yīng),從而在運(yùn)維時(shí)間和運(yùn)維效率方面達(dá)到一個(gè)平衡。


14、響應(yīng)處置

處置響應(yīng)該是一個(gè)閉環(huán),從威脅發(fā)現(xiàn)、威脅分析、威脅處置到威脅持續(xù)監(jiān)控的過程,就是一個(gè)運(yùn)營(yíng)的過程。在處置響應(yīng)方面采用了事件+動(dòng)作+指令的設(shè)計(jì),將安全事件主題、動(dòng)作和處置指令和三類有機(jī)通過平臺(tái)結(jié)合起來。


產(chǎn)品特點(diǎn)


1、先進(jìn)的大數(shù)據(jù)架構(gòu)

NGSOC是建立大數(shù)據(jù)技術(shù)架構(gòu)之上,運(yùn)用Hadoop、Spark、ElasticSearch等先進(jìn)大數(shù)據(jù)組件,成功解決海量數(shù)據(jù)的采集、存儲(chǔ)和計(jì)算的難題。NGSOC分析平臺(tái)用于存儲(chǔ)流量傳感器和日志采集器提交的流量日志、設(shè)備日志和系統(tǒng)日志,并同時(shí)提供應(yīng)用交互界面。分析平臺(tái)底層的數(shù)據(jù)檢索模塊采用了分布式計(jì)算和搜索引擎技術(shù)對(duì)數(shù)據(jù)進(jìn)行處理,可通過多臺(tái)設(shè)備建立集群以保證存儲(chǔ)空間和計(jì)算能力的供應(yīng)。傳統(tǒng)數(shù)據(jù)庫(kù)只能處理億級(jí)數(shù)據(jù)且查詢速度在分鐘級(jí),NGSOC可以處理千億級(jí)數(shù)據(jù),采集速度達(dá)10W eps,秒級(jí)查詢,大大提升安全分析和響應(yīng)的速度和效率。


2、強(qiáng)大的威脅檢測(cè)能力

搭載分布式關(guān)聯(lián)分析引擎Sabre, 內(nèi)置200+關(guān)聯(lián)分析規(guī)則, 100+語義支撐,可視化配置展現(xiàn)?;跈C(jī)器學(xué)習(xí)的DGA檢測(cè)技術(shù),檢測(cè)準(zhǔn)確率達(dá)99.94%。通過全流量檢測(cè)技術(shù),可還原數(shù)十種網(wǎng)絡(luò)協(xié)議,對(duì)失陷主機(jī),網(wǎng)絡(luò)入侵,網(wǎng)絡(luò)病毒,異常流量、DDoS攻擊等進(jìn)行精準(zhǔn)檢測(cè)。


3、相對(duì)完善的安全運(yùn)營(yíng)閉環(huán)

NGSOC在強(qiáng)有力的基礎(chǔ)大數(shù)據(jù)架構(gòu)的支撐和分布式流式引擎Sabre強(qiáng)勁檢測(cè)能力的輔助下,建立起了一套相對(duì)完善的威脅處置與響應(yīng)流程的支撐體系??赏ㄟ^平臺(tái)對(duì)資產(chǎn)、漏洞等基礎(chǔ)屬性和告警、風(fēng)險(xiǎn)等安全屬性的全生命周期管理,功能涵蓋從威脅發(fā)現(xiàn)、展示、歸納到處置響應(yīng)聯(lián)動(dòng)的閉環(huán)能力。


4、專業(yè)的安全運(yùn)營(yíng)服務(wù)

具有專職產(chǎn)品運(yùn)營(yíng)服務(wù)團(tuán)隊(duì),可提供原廠一線駐場(chǎng)、二線分析、運(yùn)營(yíng)方案咨詢及培訓(xùn)服務(wù),幫助客戶解決無人運(yùn)營(yíng)困難。


適用場(chǎng)景


場(chǎng)景一:大數(shù)據(jù)日志審計(jì)

NGSOC可以通過日志采集探針通過Syslog、、WMI、JDBC、Log File、FTP、WebService等方式對(duì)設(shè)備日志進(jìn)行采集,并對(duì)采集數(shù)據(jù)進(jìn)行歸一化、富化等預(yù)處理。用戶可以在分析平臺(tái)上對(duì)采集到的原始日志和解析日志進(jìn)行查詢、統(tǒng)計(jì)、關(guān)聯(lián)分析等處理使用。與此同時(shí),NGSOC對(duì)用戶網(wǎng)絡(luò)資產(chǎn)的日志進(jìn)行統(tǒng)一的采集、存儲(chǔ)和使用,能夠讓存量資產(chǎn)符合《網(wǎng)絡(luò)安全法》及配套法規(guī)要求。


場(chǎng)景二:資產(chǎn)管理與風(fēng)險(xiǎn)展示

用戶網(wǎng)絡(luò)中缺少對(duì)已經(jīng)存在的網(wǎng)絡(luò)設(shè)備資產(chǎn)、安全設(shè)備資產(chǎn)、服務(wù)器資產(chǎn)、存儲(chǔ)資產(chǎn)、終端防護(hù)系統(tǒng)資產(chǎn)等資產(chǎn)的統(tǒng)一管理平臺(tái),需要對(duì)包括資產(chǎn)類型、廠商、型號(hào)、系統(tǒng)類型、責(zé)任人、責(zé)任域等進(jìn)行統(tǒng)一管理。同時(shí)還需要發(fā)現(xiàn)超出現(xiàn)有管理資產(chǎn)范圍的未被管理到的資產(chǎn),以納入管理系統(tǒng)來,防止出現(xiàn)未知的信息安全風(fēng)險(xiǎn)。對(duì)于發(fā)現(xiàn)的資產(chǎn)所存在的漏洞要能夠以資產(chǎn)的視角來進(jìn)行統(tǒng)一管理,做到漏洞可發(fā)現(xiàn),解決過程可跟蹤,結(jié)果可統(tǒng)計(jì),漏洞態(tài)勢(shì)可感知的漏洞閉環(huán)管理。NGSOC可以通過多種方式對(duì)資產(chǎn)進(jìn)行信息采集,包括手工錄入、外部資產(chǎn)列表導(dǎo)入、對(duì)接資產(chǎn)探查系統(tǒng)自動(dòng)掃描發(fā)現(xiàn)、通過天擎終端發(fā)現(xiàn)等,通過NGSOC可以直觀的對(duì)資產(chǎn)情況進(jìn)行掌握。


場(chǎng)景三:網(wǎng)絡(luò)安全態(tài)勢(shì)感知

由于內(nèi)網(wǎng)環(huán)境中資產(chǎn)類型多、數(shù)據(jù)種類多、數(shù)據(jù)量大、對(duì)象行為復(fù)雜,安全管理者要想既能直觀、實(shí)時(shí)地掌握全局安全威脅態(tài)勢(shì),又能快速檢閱單一資產(chǎn)的安全狀態(tài)細(xì)節(jié),需要平臺(tái)能根據(jù)用戶實(shí)際的安全運(yùn)營(yíng)的需求分不同應(yīng)用場(chǎng)景對(duì)重點(diǎn)資產(chǎn)、重點(diǎn)威脅事件進(jìn)行可視化呈現(xiàn)。NGSOC可提供六個(gè)展示內(nèi)網(wǎng)態(tài)勢(shì)感知的大屏視圖:資產(chǎn)風(fēng)險(xiǎn)態(tài)勢(shì)視圖、外部威脅態(tài)勢(shì)感知、內(nèi)網(wǎng)威脅態(tài)勢(shì)感知、全網(wǎng)漏洞態(tài)勢(shì)、業(yè)務(wù)資產(chǎn)主動(dòng)外連態(tài)勢(shì)和安全運(yùn)營(yíng)態(tài)勢(shì),分別從不同的安全運(yùn)營(yíng)角度對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行呈現(xiàn)。


場(chǎng)景四:威脅事件捕獲

傳統(tǒng)的安全技術(shù)對(duì)已知的攻擊(已具備特征庫(kù)的攻擊)能起到較好的檢測(cè)效果,但對(duì)于高級(jí)持續(xù)性威脅(APT)或者一些復(fù)雜的內(nèi)部違規(guī)行為的判定就無能為力了。針對(duì)當(dāng)前互聯(lián)網(wǎng)威脅的這一現(xiàn)狀,NGSOC將威脅的自動(dòng)檢測(cè)方案放到了以下幾個(gè)關(guān)鍵點(diǎn):

1. 將傳統(tǒng)安全設(shè)備或系統(tǒng)的安全告警作為參考數(shù)據(jù),但不作為行為研判的唯一標(biāo)準(zhǔn)。充分利用原始的網(wǎng)絡(luò)流量、主機(jī)行為日志等數(shù)據(jù)對(duì)原始行為進(jìn)行記錄和分類;

2. 充分利用威脅情報(bào),從原始的網(wǎng)絡(luò)行為和主機(jī)行為中去捕獲跟惡意組織相關(guān)的各種痕跡;

3. 當(dāng)發(fā)現(xiàn)可疑行為后,平臺(tái)將主動(dòng)對(duì)行為相關(guān)的資源對(duì)象,如:賬號(hào)、攻擊源IP、資產(chǎn)、文件等,在歷史數(shù)據(jù)中進(jìn)行多維度回溯分析,同時(shí)對(duì)關(guān)聯(lián)對(duì)象的將來行為進(jìn)行持續(xù)跟蹤。

4. 平臺(tái)將關(guān)聯(lián)行為組合在一起后,再對(duì)行為鏈進(jìn)行綜合研判,分析攻擊者的企圖、手段以及受害范圍,再利用EDR進(jìn)行處置和防御。


場(chǎng)景五:事件調(diào)查(線上、線下)

自動(dòng)的行為鏈檢測(cè)可以對(duì)數(shù)據(jù)進(jìn)行快速分析匯聚,提高分析效率,但對(duì)于復(fù)雜的場(chǎng)景或者對(duì)無明顯惡意特征的行為進(jìn)行定性分析仍然需要專業(yè)的安全分析人員以及網(wǎng)絡(luò)管理人員等的參與。NGSOC的事件調(diào)查功能就是專門面向安全分析人員、網(wǎng)絡(luò)管理人員的數(shù)據(jù)調(diào)查工具。包含了安全攻防類、行為管理類、內(nèi)控內(nèi)審類和網(wǎng)絡(luò)故障類。安全分析人員在進(jìn)行數(shù)據(jù)調(diào)查時(shí)需要能快速的對(duì)數(shù)據(jù)進(jìn)行檢索,找到可疑的內(nèi)容并進(jìn)行分類和備注,同時(shí)可以對(duì)不同的類型的數(shù)據(jù)進(jìn)行多種條件的關(guān)聯(lián)和快速統(tǒng)計(jì),從中發(fā)現(xiàn)潛在的威脅行為。


部署方式


在企業(yè)網(wǎng)絡(luò)中NGSOC的部署方式如下圖所示:


態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)2


NGSOC的主要組件有:分析平臺(tái)(軟件)、流量采集器硬件和日志采集探針(軟件),各個(gè)組件均采取旁路部署的模式,部署在安全管理區(qū)組成獨(dú)立的安全管理網(wǎng)絡(luò),不會(huì)影響用戶業(yè)務(wù)網(wǎng)絡(luò)和其他網(wǎng)段。其中威脅情報(bào)采取云端推送或?qū)氲姆绞絾蜗騻鬏斀o部署在用戶本地的分析平臺(tái),所以即便在與互聯(lián)網(wǎng)隔離的環(huán)境下也能實(shí)現(xiàn)威脅情報(bào)的及時(shí)更新。分析平臺(tái)通過對(duì)本地采集到的設(shè)備日志、流量日志,結(jié)合本地的安全分析規(guī)則和云端威脅情報(bào)進(jìn)行場(chǎng)景化建模關(guān)聯(lián)分析,有效發(fā)現(xiàn)網(wǎng)絡(luò)威脅。NGSOC各組件均支持分布式或者集群的擴(kuò)容方式,滿足不同規(guī)模用戶的高性能分析需求。