SOC平台功能分析

?市场上主流的SOC平台
?东软SOC
?华三的SecCenter
?天融信的Top Analyser & TSM
?联想网御
?安氏
?ArcSight ESM
?Cisco SIMS&MARS
?RSA
?产品规划
?SOC产品的价值
?TSOC的不足
?短时间和长期规划
 

东软 SOC架构

 

 
?数据采集层：根据要求从网络设备、安全设备、主机系统等数据来源采集各类安全信息。
? 数据处理层：将采集到的原始安全信息进行关联分析处理，实现格式标准化，根据策略进行数据归并和压缩后，存储到数据库中。
?应用服务层：从数据库中提取信息，按照策略完成数据的过滤、条件分析，为展现平台提供数据支持；同时仍是展现平台进行资源配置的接口。
?展现平台层：实现NetEye安全运维平台的统一界面展现。经过统一的图形化管理界面，NetEye安全运维平台实现了安全监控、维护、管理、展现的所有功能。 
 
?资产管理
?脆弱性管理
?风险管理
?安全信息监控
?策略管理
?工单管理
?知识库管理
?安全预警
?故障信息显示
?报表
?关联分析

 

优势: 
?安全域管理
?资产管理信息丰富
?设备控制功能
  

 不足   
?工做流的功能比较弱
?配置比较复杂
?关联分析功能的预期效果比较差
?SIMS的配置和SMC分离
 

2、华三 SecCenter：
?SecCenter的核心价值体如今于其事件关联功能上；
?数据采集协议支持：NetStream、NetFlow、CFlow、Syslog、Windows WMI、ODBC
?定位于SIEM，不是SOC 
?监控
?事件关联分析
?网络的拓扑展现

TSOC与华三的比较

  优势： 
?风险分析
?脆弱性管理
?安全域的管理概念
?工做流
 

不足： 
?综合监控的信息不明了
?关联分析不足
?网络管理能力不足
?引擎配置没有整合到SMC中
?引擎支持的日志收集格式较少
 

3、天融信 TSM

 
?TSM（Trust Network Security Management System）是天融信新一代网络安全综合管理平台。
?TSM采用代理+服务器+管理器的三层结构。 
?资产管理
?网络拓扑管理
?策略管理
?监控
?事件智能检测
?事件分析 
?TopAnalyzer 做为soc 中心的软件平台，以风险管理为核心，资产管理为基础，事件管理为主线，辅以有效的管理、监视与响应功能，为用户构建动态的可信安全管理体系。 
?事件管理
?安全分析与报表
?资产管理
?知识库
?实时监控
?关联分析
–基于专家系统的辅助决策系统
–基于规则的安全响应与报警
?全局内风险管理与计算
?工单管理

TSOC和TopAnalyser的比较

 优势：
?脆弱性管理
?资产信息丰富
?报表内容比较丰富

       不足： 
?实时监控的展现形式不丰富
?关联分析不足
?引擎配置没有整合到SMC中
?设备控制相对较弱
?数据库支持不普遍

5、联想网御-安全管理平台

 
?联想网御针对对企业信息安全比较重视的中高端用户推出的第三代安全管理平台定位于集中设备监控和全局审计分析，是网络安全的中枢神经系统，也是联想网御信息安全解决方案的核心。  
?设备管理
?设备监控
?告警管理（告警关联）
?日志审计
?资产管理
?策略管理（防火墙和×××的策略配置）
?风险管理
?级联管理（多级）

TSOC与联想网御的比较

优势： 
?脆弱性管理
?安全域的管理概念
?工做流
?丰富的知识库
?强大的关联分析功能

不足： 
?引擎配置没有整合到SMC中
?缺乏日志审计功能
?缺乏设备策略配置功能
?只有SIMS的多级部署

6、安氏 SOC

 
?资产管理
?风险管理
?脆弱性管理
?工单预警
?统计分析（关联分析）
?知识库管理
?指标管理

7、Cisco SIMS

 
?是一个安全信息管理（SIM）应用程序，它可实现与多种不一样安全产品之间的异种机互操做性，所以可以使网络管理人员集中监控、管理和监督企业网络的安全性。
?范式化后的9中事件：
–访问 / 身份验证 / 受权
–应用程序盗用
–配置 / 系统状态
–拒绝服务
–躲避
–违反政策
–侦察企图
–未知 / 可疑
–病毒 / 特洛伊***
 
?风险和威胁分析评估
?监控
?事件响应管理
?多级关联
?知识库 
?CS-MARS:(Cisco Security Monitoring, Analysis and Responder System)
?定义了事件被处理的流程（8个步骤）
?充分利用了网络拓扑的属性，来减小误报、发现网络热点、找到最佳防护点和提升证据分析能力 
?智能网络拓扑发现
?事件进程化管理
?风险关联分析
?流量异常分析
?误报分析
?安全预警与响应
?脆弱性评估
?报表

 

8、Arcsight ESM

 

ArcSight 体系结构：可知足世界上规模最大的、安全性能要求最高的网络的须要

–ArcSight ESM 的扩展不只限于单级部署，多级和对等方式部署也可以很好的进行扩展。所以，您能够采用最适合您企业的方式进行部署，不管是部署单个安全营运中心 (SOC)，仍是部署地理位置分散、相互间必须不断共享信息的多个安全营运中心。 

 
?事件监控
?响应处理
?智能关联
?合规性报告
?多级部署
?支持Discovery分析工具
 

8、RSA Envision

 
?关联预警
?审计管理
?安全事件管理
?行为合规性检测
?实时监控
?预警（与基线作比较）
?基线管理
?脆弱性分析集成
 

9、竞争对手功能对比表 

 

 

 
10、SOC产品的价值
 
?客户的价值
–从众多安全事件中分析网络的安全情况，进行从宏观到微观的展现。
–能够定位出安全事件的焦点，能够作到逐步钻取的达到准肯定位。
–提供给客户一份安全/合规性报告。
–是否能够提供深度的过后数据挖掘。
?企业内部的价值
–为企业的安全产品提供总体的解决方案。
–为公司提供和大客户和战略客户合做提供基础 

 
11、SOC发展方向

?实时监控
?关联分析
?数据智能挖掘
?威胁管理
?风险管理
?等级保护
?综合审计
?数据存储

 
12、TSOC如今的情况
 
?SIMS引擎数据采集分类不合理
?功能全，可是不精
?产品业务流程混乱
?界面的监控显示不突出
?报表的内容太苍白
?用户的网络安全宏观监控没有
?配置部署太复杂
?模块化程度不高，产品和定制开发成本高

 
十3、产品规划目标
 
?短时间目标
–增强TSOC的市场竞争力(核心功能）
–补充从前方来的客户需求
?长期目标
–立足核心功能，深度发展核心功能
–创建架构灵活的SOC产品平台，下降产品和定制开发成本
–产品线细分/多样化
–在国内的SOC竞争（技术）中应该处于NO.1
 

十4、  产品短时间规划 
?TSOC3.0.8.0
–引进基线管理，让系统能够在事件、流量方面能够经过学习过程，创建标准区域基准。
–经过对比区域基准，来作全局的总体网络安全、流量异常分析展现。
–对全局的展现，能够进行数据钻取，从总体→局部→设备→事件 ，来准肯定位事件。
–增长安全报告，在内容和格式上改进。
–改进关联分析子系统。
–增长3个分析模块（地址熵、三元组和热点）
–核心功能模块和定制开发模块组件化或者模块化
 
?TSOC3.0.9.0
–SIMS和SMC的整合
–多级管理
–引入VWP平台组件
–部分功能模块化（主要集中在定制开发模块多的功能）
–网络拓扑 
 
十5、产品长期规划

 
?产品架构从新设计，作到灵活可拆分。尽可能作到系统能够与WEB服务器无关和数据库系统无关。
?作一个产品基础平台-威胁管理
–综合监控
–基线管理
–流量管理
–关联分析
–知识库
–报表 

 
?在产品平台基础上开发风险管理平台
–资产管理
–风险管理
–脆弱性管理
?在产品平台基础上开发审计平台
–合规性报表
?在产品平台的基础上开发等级保护平台
–风险域管理
–等级保护
–网络拓扑

十6、  产品的规划

 

十7、  520项目介绍

 
?520实际上应该是UDS产品的部分功能+综合分析、展现的一个综合体。
?520的功能
–事件收集、事件策略下发
–分析模型（地址熵、三元组、热点传播、联动）
–短时间态势分析
–异常流量、安全情况监控
–报表、查询
–报送管理
–响应管理
 

启明星辰