SOC平臺功能分析研發中心林寶晶 市場上主流的SOC平臺東軟SOC華三的SecCenter天融信的TopAnalyser TSM聯想網御安氏ArcSightESMCiscoSIMS MARSRSA產品規劃SOC產品的價值TSOC的不足短期和長期規劃 東軟SOC架構 數據采集層 根據要求從網絡設備 安全設備 主機系統等數據來源采集各種安全信息 數據處理層 將采集到的原始安全信息進行關聯分析處理 實現格式標準化 根據策略進行數據歸并和壓縮后 存儲到數據庫中 應用服務層 從數據庫中提取信息 按照策略完成數據的過濾 條件分析 為展示平臺提供數據支持 同時還是展示平臺進行資源配置的接口 展示平臺層 實現NetEye安全運維平臺的統一界面展示 通過統一的圖形化管理界面 NetEye安全運維平臺實現了安全監控 維護 管理 展示的全部功能 東軟SOC 東軟SOC 資產管理脆弱性管理風險管理安全信息監控策略管理工單管理知識庫管理安全預警故障信息顯示報表關聯分析 TSOC和東軟SOC的比較 華三SecCenter SecCenter的核心價值體現在于其事件關聯功能上 數據采集協議支持 NetStream NetFlow CFlow Syslog WindowsWMI ODBC定位于SIEM 不是SOC 華三SecCenter 監控事件關聯分析網絡的拓撲展示 TSOC與華三的比較 天融信TSM TSM TrustNetworkSecurityManagementSystem 是天融信新一代網絡安全綜合管理平臺 TSM采用代理 服務器 管理器的三層結構 天融信TSM 資產管理網絡拓撲管理策略管理監控事件智能檢測事件分析 天融信TopAnalyser TopAnalyzer作為soc中心的軟件平臺 以風險管理為核心 資產管理為基礎 事件管理為主線 輔以有效的管理 監視與響應功能 為用戶構建動態的可信安全管理體系 天融信TopAnalyser 天融信TopAnalyser 事件管理安全分析與報表資產管理知識庫實時監控關聯分析基于專家系統的輔助決策系統基于規則的安全響應與報警全局內風險管理與計算工單管理 TSOC和TopAnalyser的比較 聯想網御 安全管理平臺 聯想網御針對對企業信息安全比較重視的中高端用戶推出的第三代安全管理平臺定位于集中設備監控和全局審計分析 是網絡安全的中樞神經系統 也是聯想網御信息安全解決方案的核心 聯想網御 安全管理平臺 聯想網御 安全管理平臺 聯想網御 安全管理平臺 設備管理設備監控告警管理 告警關聯 日志審計資產管理策略管理 防火墻和VPN的策略配置 風險管理級聯管理 多級 TSOC與聯想網御的比較 安氏SOC 資產管理風險管理脆弱性管理工單預警統計分析 關聯分析 知識庫管理指標管理 CiscoSIMS 是一個安全信息管理 SIM 應用程序 它可實現與多種不同安全產品之間的異種機互操作性 因此可使網絡管理人員集中監控 管理和監督企業網絡的安全性 范式化后的9中事件 訪問 身份驗證 授權應用程序盜用配置 系統狀態拒絕服務躲避違反政策偵察企圖未知 可疑病毒 特洛伊木馬 CiscoSIMS 風險和威脅分析評估監控事件響應管理多級關聯知識庫 CiscoCS MARS CS MARS CiscoSecurityMonitoring AnalysisandResponderSystem 定義了事件被處理的流程 8個步驟 充分利用了網絡拓撲的屬性 來減少誤報 發現網絡熱點 找到最佳防御點和提高證據分析能力 CiscoCS MARS 智能網絡拓撲發現事件進程化管理風險關聯分析流量異常分析誤報分析安全預警與響應脆弱性評估報表 ArcsightESM ArcsightESM ArcSight體系結構 可滿足世界上規模最大的 安全性能要求最高的網絡的需要ArcSightESM的擴展不僅限于單級部署 多級和對等方式部署也能夠很好的進行擴展 因此 您可以采用最適合您企業的方式進行部署 無論是部署單個安全營運中心 SOC 還是部署地理位置分散 相互間必須不斷共享信息的多個安全營運中心 ArcsightESM 事件監控響應處理智能關聯合規性報告多級部署支持Discovery分析工具 RSAEnvision RSAEnvision 關聯預警審計管理安全事件管理行為合規性檢測實時監控預警 與基線做比較 基線管理脆弱性分析集成 競爭對手功能對比表 SOC產品的價值 客戶的價值從眾多安全事件中分析網絡的安全狀況 進行從宏觀到微觀的展示 可以定位出安全事件的焦點 可以做到逐步鉆取的達到準確定位 提供給客戶一份安全 合規性報告 是否可以提供深度的事后數據挖掘 企業內部的價值為企業的安全產品提供整體的解決方案 為公司提供和大客戶和戰略客戶合作提供基礎 SOC發展方向 實時監控關聯分析數據智能挖掘威脅管理風險管理等級保護綜合審計數據存儲 TSOC現在的狀況 SIMS引擎數據采集分類不合理功能全 但是不精產品業務流程混亂界面的監控顯示不突出報表的內容太蒼白用戶的網絡安全宏觀監控沒有配置部署太復雜模塊化程度不高 產品和定制開發成本高 產品規劃目標 短期目標加強TSOC的市場競爭力 核心功能 補充從前方來的客戶需求長期目標立足核心功能 深度發展核心功能建立架構靈活的SOC產品平臺 降低產品和定制開發成本產品線細分 多樣化在國內的SOC競爭 技術 中應該處于NO 1 產品短期規劃 一 TSOC3 0 8 0引進基線管理 讓系統可以在事件 流量方面可以通過學習過程 建立標準區域基準 通過對比區域基準 來做全局的整體網絡安全 流量異常分析展示 對全局的展示 可以進行數據鉆取 從整體 局部 設備 事件 來準確定位事件 增加安全報告 在內容和格式上改進 改進關聯分析子系統 增加3個分析模塊 地址熵 三元組和熱點 核心功能模塊和定制開發模塊組件化或者模塊化 產品短期規劃 二 TSOC3 0 9 0SIMS和SMC的整合多級管理引入VWP平臺組件部分功能模塊化 主要集中在定制開發模塊多的功能 網絡拓撲 產品長期規劃 一 產品架構重新設計 做到靈活可拆分 盡量做到系統可以與WEB服務器無關和數據庫系統無關 做一個產品基礎平臺 威脅管理綜合監控基線管理流量管理關聯分析知識庫報表 產品長期規劃 二 在產品平臺基礎上開發風險管理平臺資產管理風險管理脆弱性管理在產品平臺基礎上開發審計平臺合規性報表在產品平臺的基礎上開發等級保護平臺風險域管理等級保護網絡拓撲 產品的規劃 產品路標規劃 Platform TSOC ASOC TSO