SOC竞争对手分析和规划课件.ppt

1、 短期和长期规划3 数据采集层：数据采集层：根据要求从网络设备、安全设备、主机系统等数据来源采集各种安全信息。数据处理层数据处理层：将采集到的原始安全信息进行关联分析处理，实现格式标准化，根据策略进行数据归并和压缩后，存储到数据库中。应用服务层：应用服务层：从数据库中提取信息，按照策略完成数据的过滤、条件分析，为展示平台提供数据支持；同时还是展示平台进行资源配置的接口。展示平台层展示平台层：实现NetEye安全运维平台的统一界面展示。通过统一的图形化管理界面，NetEye安全运维平台实现了安全监控、维护、管理、展示的全部功能。45 资产管理资产管理 脆弱性管理脆弱性管理 风险管理风险管理 安全

2、信息监控安全信息监控 策略管理策略管理 工单管理工单管理 知识库管理知识库管理 安全预警安全预警 故障信息显示故障信息显示 报表报表 关联分析关联分析6优点优点 不足不足安全域管理安全域管理资产管理信息丰富资产管理信息丰富设备控制功能设备控制功能工作流的功能比较弱工作流的功能比较弱配置比较复杂配置比较复杂关联分析功能的预期效果关联分析功能的预期效果比较差比较差SIMS的配置和的配置和SMC分离分离7 SecCenter的核心价值体现在于其事件关联功能上；数据采集协议支持：NetStream、NetFlow、CFlow、Syslog、Windows WMI、ODBC 定位于SIEM，不是SOC8

3、 监控 事件关联分析 网络的拓扑展示9优点优点 不足不足风险分析风险分析脆弱性管理脆弱性管理安全域的管理概念安全域的管理概念工作流工作流综合监控的信息不明了综合监控的信息不明了关联分析不足关联分析不足网络管理能力不足网络管理能力不足引擎配置没有整合到引擎配置没有整合到SMC中中引擎支持的日志收集格式引擎支持的日志收集格式较少较少10 TSM（Trust Network Security Management System）是天融信新一代网络安全综合管理平台。TSM采用代理+服务器+管理器的三层结构。11 资产管理资产管理 网络拓扑管理网络拓扑管理 策略管理策略管理 监控监控 事件智能检测事件智

4、能检测 事件分析事件分析12 TopAnalyzer 作为soc 中心的软件平台，以风险管理为核心，资产管理为基础，事件管理为主线，辅以有效的管理、监视与响应功能，为用户构建动态的可信安全管理体系。1314 事件管理事件管理 安全分析与报表安全分析与报表 资产管理资产管理 知识库知识库 实时监控实时监控 关联分析关联分析 基于专家系统的辅助决策系统 基于规则的安全响应与报警 全局内风险管理与计算全局内风险管理与计算 工单管理工单管理15优点优点 不足不足脆弱性管理脆弱性管理资产信息丰富资产信息丰富报表内容比较丰富报表内容比较丰富实时监控的展示形式不丰实时监控的展示形式不丰富富关联分析不足关联分

5、析不足引擎配置没有整合到引擎配置没有整合到SMC中中设备控制相对较弱设备控制相对较弱数据库支持不广泛数据库支持不广泛16 联想网御针对对企业信息安全比较重视的中高端用户推出的第三代安全管理平台定位于集中设备监控和全局审计分析，是网络安全的中枢神经系统，也是联想网御信息安全解决方案的核心。171819 设备管理设备管理 设备监控设备监控 告警管理（告警关联）告警管理（告警关联）日志审计日志审计 资产管理资产管理 策略管理（防火墙和策略管理（防火墙和VPN的策略配置）的策略配置）风险管理风险管理 级联管理（多级）级联管理（多级）20优点优点 不足不足脆弱性管理脆弱性管理安全域的管理概念安全域的管理

6、概念工作流工作流丰富的知识库丰富的知识库强大的关联分析功能强大的关联分析功能引擎配置没有整合到引擎配置没有整合到SMC中中缺少日志审计功能缺少日志审计功能缺少设备策略配置功能缺少设备策略配置功能只有只有SIMS的多级部署的多级部署21 资产管理资产管理 风险管理风险管理 脆弱性管理脆弱性管理 工单预警工单预警 统计分析（关联分析）统计分析（关联分析）知识库管理知识库管理 指标管理指标管理22 是一个安全信息管理（SIM）应用程序，它可实现与多种不同安全产品之间的异种机互操作性，因此可使网络管理人员集中监控、管理和监督企业网络的安全性。范式化后的9中事件：访问访问/身份验证身份验证/授权授权 应

7、用程序盗用应用程序盗用 配置配置/系统状态系统状态 拒绝服务拒绝服务 躲避躲避 违反政策违反政策 侦察企图侦察企图 未知未知/可疑可疑 病毒病毒/特洛伊木马特洛伊木马23 风险和威胁分析评估 监控 事件响应管理 多级关联 知识库24 CS-MARS:(Cisco Security Monitoring,Analysis and Responder System)定义了事件被处理的流程（8个步骤）充分利用了网络拓扑的属性，来减少误报、发现网络热点、找到最佳防御点和提高证据分析能力25 智能网络拓扑发现 事件进程化管理 风险关联分析 流量异常分析 误报分析 安全预警与响应 脆弱性评估 报表2627

8、ArcSight 体系结构：可满足世界上规模最体系结构：可满足世界上规模最大的、安全性能要求最高的网络的需要大的、安全性能要求最高的网络的需要 ArcSight ESM 的扩展不仅限于单级部署，多级和对等方式部署也能够很好的进行扩展。因此，您可以采用最适合您企业的方式进行部署，无论是部署单个安全营运中心(SOC)，还是部署地理位置分散、相互间必须不断共享信息的多个安全营运中心。28 事件监控 响应处理 智能关联 合规性报告 多级部署 支持Discovery分析工具2930 关联预警关联预警 审计管理审计管理 安全事件管理安全事件管理 行为合规性检测行为合规性检测 实时监控实时监控 预警（与基线

9、做比较）预警（与基线做比较）基线管理基线管理 脆弱性分析集成脆弱性分析集成3132客户的价值客户的价值从众多安全事件中分析网络的安全状况，进行从宏观到微观的展示。可以定位出安全事件的焦点，可以做到逐步钻取的达到准确定位。提供给客户一份安全/合规性报告。是否可以提供深度的事后数据挖掘。企业内部的价值企业内部的价值为企业的安全产品提供整体的解决方案。为公司提供和大客户和战略客户合作提供基础33 实时监控实时监控 关联分析关联分析 数据智能挖掘数据智能挖掘 威胁管理威胁管理 风险管理风险管理 等级保护等级保护 综合审计综合审计 数据存储数据存储34 SIMS引擎数据采集分类不合理 功能全，但是不精

10、产品业务流程混乱 界面的监控显示不突出 报表的内容太苍白 用户的网络安全宏观监控没有 配置部署太复杂 模块化程度不高，产品和定制开发成本高35 短期目标短期目标 加强TSOC的市场竞争力(核心功能）补充从前方来的客户需求 长期目标长期目标 立足核心功能，深度发展核心功能 建立架构灵活的SOC产品平台，降低产品和定制开发成本 产品线细分/多样化 在国内的SOC竞争（技术）中应该处于NO.136 TSOC3.0.8.0 引进基线管理，让系统可以在事件、流量方面可以通过学习过程，建立标准区域基准。通过对比区域基准，来做全局的整体网络安全、流量异常分析展示。对全局的展示，可以进行数据钻取，从整体局部设

11、备事件，来准确定位事件。增加安全报告，在内容和格式上改进。改进关联分析子系统。增加3个分析模块（地址熵、三元组和热点）核心功能模块和定制开发模块组件化或者模块化37 TSOC3.0.9.0 SIMS和SMC的整合 多级管理 引入VWP平台组件 部分功能模块化（主要集中在定制开发模块多的功能）网络拓扑38 产品架构重新设计，做到灵活可拆分。尽量做到系统可以与WEB服务器无关和数据库系统无关。做一个产品基础平台-威胁管理 综合监控综合监控 基线管理基线管理 流量管理流量管理 关联分析关联分析 知识库知识库 报表报表39 在产品平台基础上开发风险管理平台在产品平台基础上开发风险管理平台 资产管理 风

12、险管理 脆弱性管理 在产品平台基础上开发审计平台在产品平台基础上开发审计平台 合规性报表 在产品平台的基础上开发等级保护平台在产品平台的基础上开发等级保护平台 风险域管理 等级保护 网络拓扑40SOC基础平台基础平台威胁管理威胁管理TSOC风险管理风险管理ZSOC等级保护等级保护ASOC综合审计综合审计SOC安全运维安全运维41PlatformTSOC、ASOCTSOC3.0.8.0SIMSSIMS定制开发定制开发TSOC3.0.9.042 520实际上应该是实际上应该是UDS产品的部分功能产品的部分功能+综合分综合分析、展示的一个综合体。析、展示的一个综合体。520的功能的功能 事件收集、事件策略下发 分析模型（地址熵、三元组、热点传播、联动）短期态势分析 异常流量、安全状况监控 报表、查询 报送管理 响应管理43