J9九游会AG

综合安全监管解决方案

发布时间: 2019年06月04日 点(dian)击(ji)量(liang):112分享(xiang)到:

方案概述

在(zai)企业的(de)(de)网络基础(chu)设(she)施和(he)信息系统(tong)建设(she)过程(cheng)中,为保证(zheng)业务系统(tong)的(de)(de)安全(quan)可靠运行(xing),同时也(ye)为了(le)满足国家法(fa)(fa)律法(fa)(fa)规(gui)和(he)行(xing)业规(gui)范(fan)的(de)(de)要求,会进行(xing)相应的(de)(de)信息安全(quan)基础(chu)建设(she),部署(shu)相关(guan)的(de)(de)安全(quan)设(she)备和(he)安全(quan)系统(tong)(防火墙、防病(bing)(bing)毒(du)系统(tong)、IDS/IPS、VPN、WAF、日志(zhi)审(shen)计等)。这些(xie)安全(quan)设(she)备和(he)系统(tong)较(jiao)好的(de)(de)解决了(le)其(qi)关(guan)注的(de)(de)某个(ge)方面的(de)(de)安全(quan)问(wen)题,如防火墙能够依据(ju)预(yu)定义的(de)(de)策略阻止违反策略的(de)(de)访问(wen)、防病(bing)(bing)毒(du)系统(tong)能够利用其(qi)病(bing)(bing)毒(du)特征库发(fa)现已知病(bing)(bing)毒(du)、日志(zhi)审(shen)计系统(tong)能够利用审(shen)计规(gui)则发(fa)现可疑访问(wen)等。


但随(sui)着网(wang)络应用规模(mo)和复杂度的(de)(de)(de)(de)不(bu)断提高,网(wang)络中传输的(de)(de)(de)(de)数(shu)据(ju)(ju)量(liang)急(ji)剧上升,网(wang)络攻防对抗日趋激烈(lie),企业内部新的(de)(de)(de)(de)安全(quan)(quan)(quan)问题(ti)开始(shi)显现,包括复杂的(de)(de)(de)(de)网(wang)络环境让(rang)安全(quan)(quan)(quan)工作无(wu)从下手、传统安全(quan)(quan)(quan)技术对高级持(chi)续性威(wei)(wei)胁无(wu)能为力、围(wei)墙式的(de)(de)(de)(de)防御体(ti)系不(bu)再适应当前的(de)(de)(de)(de)网(wang)络环境,为解决以上出现的(de)(de)(de)(de)新的(de)(de)(de)(de)安全(quan)(quan)(quan)问题(ti),形成了综合(he)安全(quan)(quan)(quan)监管(guan)平(ping)台解决方(fang)案。解决方(fang)案涵盖数(shu)据(ju)(ju)采集、数(shu)据(ju)(ju)处理和存储、数(shu)据(ju)(ju)分析、利用威(wei)(wei)胁情报(bao)对威(wei)(wei)胁进行(xing)发现和研判、安全(quan)(quan)(quan)威(wei)(wei)胁事件调查分析、整体(ti)安全(quan)(quan)(quan)态势呈现、构建安全(quan)(quan)(quan)运营体(ti)系等功能。


 

方案功能

数据采集

为提升安(an)全(quan)运营和管理(li)的(de)覆盖面(mian),以及提高安(an)全(quan)检(jian)测功能的(de)深度(du)和准(zhun)确度(du),广泛的(de)基础信(xin)息采集(ji)在系统建设中必不可(ke)(ke)少。平台可(ke)(ke)以通过日志(zhi)采集(ji)探针、流量传(chuan)感器、终端安(an)全(quan)管理(li)系统等多种软硬件J9九游会AG产品 对常见日志(zhi)进行采集(ji)。


数(shu)据处理和存储

平台使用了ES集(ji)(ji)(ji)(ji)群(qun)和PG集(ji)(ji)(ji)(ji)群(qun),在(zai)ES(ElasticSearch)集(ji)(ji)(ji)(ji)群(qun)中,主要是存(cun)储归一化(hua)的日(ri)志(zhi)、流量日(ri)志(zhi)、原(yuan)始日(ri)志(zhi)等所有的日(ri)志(zhi)信(xin)息(xi)。集(ji)(ji)(ji)(ji)群(qun)自(zi)身考虑了冗(rong)余(yu)、备(bei)份、负载均(jun)衡等相关事务;PG集(ji)(ji)(ji)(ji)群(qun),也(ye)就是基(ji)于PostgresSQL的集(ji)(ji)(ji)(ji)群(qun),主要用于快速的展示告(gao)警结(jie)果、调(diao)查分析结(jie)果、报表等一些数(shu)(shu)据分析结(jie)果数(shu)(shu)据。


数据分析(xi)

能够实(shi)现数据的快速搜索、统(tong)计(ji)、关联分(fen)析、场(chang)景化分(fen)析和拓扑计(ji)算等。


利用威胁情报对威胁进行发现和研判

威(wei)胁(xie)情(qing)(qing)(qing)报是一种特定类型的(de)情(qing)(qing)(qing)报,旨在为企(qi)业提供有关(guan)于(yu)攻(gong)(gong)击(ji)(ji)者的(de)知识(shi),帮助企(qi)业了解攻(gong)(gong)击(ji)(ji)者在企(qi)业的(de)网络环境中的(de)行动、攻(gong)(gong)击(ji)(ji)者的(de)能力和TTP(战(zhan)术、技术和规程(cheng))信息(xi)。企(qi)业通过利用(yong)威(wei)胁(xie)情(qing)(qing)(qing)报可以(yi)从(cong)攻(gong)(gong)击(ji)(ji)者身(shen)上(shang)获得(de)相(xiang)关(guan)经验教训(xun),以(yi)更好地识(shi)别威(wei)胁(xie)和做出响应。威(wei)胁(xie)情(qing)(qing)(qing)报包括IP信息(xi)、域(yu)名信息(xi)、文件MD5等信息(xi)。


安全威胁事件调查分析

充分利用大(da)数(shu)(shu)(shu)据(ju)平(ping)台存储量大(da)、数(shu)(shu)(shu)据(ju)全(quan)面(mian)、计(ji)算效率高(gao)的(de)(de)特(te)点,为(wei)企业(ye)提(ti)供便捷高(gao)效的(de)(de)安全(quan)威胁事(shi)件调(diao)查(cha)(cha)工具。一方面(mian)可(ke)通过可(ke)视化(hua)技术建立数(shu)(shu)(shu)据(ju)之间的(de)(de)关联,提(ti)高(gao)数(shu)(shu)(shu)据(ju)的(de)(de)可(ke)读(du)性和可(ke)操(cao)作性,提(ti)高(gao)安全(quan)人员(yuan)针对安全(quan)事(shi)件的(de)(de)分析(xi)效率;另一方面(mian)可(ke)将安全(quan)分析(xi)人员(yuan)经常使用的(de)(de)调(diao)查(cha)(cha)分析(xi)场(chang)景固化(hua)成(cheng)独立的(de)(de)小工具,使分析(xi)人员(yuan)在对数(shu)(shu)(shu)据(ju)进行(xing)调(diao)查(cha)(cha)时可(ke)快速调(diao)用场(chang)景化(hua)工具,让(rang)分析(xi)人员(yuan)将精力集中在威胁事(shi)件的(de)(de)细节和过程分析(xi)上,而不是(shi)浪费在数(shu)(shu)(shu)据(ju)查(cha)(cha)询或统计(ji)的(de)(de)语句构(gou)造(zao)上。


整体(ti)安全(quan)态势呈(cheng)现

在安全应用之上,NGSOC系统利用自(zi)身所(suo)能收集的各种(zhong)数据、告警(jing)和威(wei)胁(xie)情(qing)报,结合(he)自(zi)身的完善运(yun)营体系内,预(yu)(yu)置以(yi)内部资(zi)产为(wei)视角的内部业务资(zi)产风险态势感(gan)知(zhi)(zhi)和外部威(wei)胁(xie)态势感(gan)知(zhi)(zhi)。同时可以(yi)根(gen)据不同行(xing)业和客户(hu)特(te)点进(jin)行(xing)态势感(gan)知(zhi)(zhi)系统的定制开(kai)发(fa),提(ti)(ti)供多种(zhong)安全态势的分析呈现能力,为(wei)进(jin)一步的安全预(yu)(yu)警(jing)和监控提(ti)(ti)供了系统支撑。


构建安(an)全运营体系

在(zai)完善(shan)的大数据平(ping)台架(jia)(jia)构(gou)之上(shang),NGSOC基于自适应安(an)全框架(jia)(jia)设计了相关安(an)全功能(告(gao)警(jing)(jing)功能、资产管理(li)、日志检索、告(gao)警(jing)(jing)处(chu)置(zhi)、工单、仪表(biao)板、调(diao)查分析、报表(biao)、知识库、仪表(biao)展示等功能),对传统安(an)全防御类J9九游会AG产品 进行架(jia)(jia)构(gou)上(shang)的补充(chong),可(ke)以帮(bang)助企业(ye)客(ke)户实现完整(zheng)闭环的威胁响应。

方案价值

  • 完善安全防护体系

    利用(yong)云端威(wei)胁情报数(shu)据,从(cong)互(hu)联网数(shu)据中(zhong)进行发掘和分析攻击(ji)线索,提升未(wei)知威(wei)胁和APT攻击(ji)的检(jian)出效率(lv),有效发现基础安全(quan)建设中(zhong)遗留(liu)的安全(quan)隐患(huan)并及时修正。 

  • 提升安全防护水平

    引(yin)入威胁(xie)情(qing)报和规则链技术(shu)的引(yin)入,形(xing)成了(le)(le)监(jian)听-主(zhu)动回溯、研判-主(zhu)动监(jian)测(ce)的检测(ce)体(ti)系(xi),大(da)(da)大(da)(da)提升了(le)(le)积极防(fang)御(yu)的能力(li),弥补了(le)(le)现有被(bei)动防(fang)御(yu)方(fang)式(shi)的不足。 

  • 提升异常检测能力

     场景化威(wei)胁检(jian)测(ce)技(ji)术(shu),能(neng)够(gou)基于用户的(de)业务环境(jing)构建威(wei)胁检(jian)测(ce)和响应模(mo)型,及时发(fa)现内(nei)部(bu)的(de)业务安(an)全风险。  

  • 提高应急响应效率

    终(zhong)端检测响应(EDR)技术(shu)可以(yi)和配置的其他安全(quan)设备(bei)进(jin)行联动,形(xing)成协调防御体系,可以(yi)大大缩(suo)短攻击者的攻击时间窗口并提高攻击者的攻击成本。 

  • 提升数据查找能力

    创(chuang)新(xin)性的(de)采用搜索(suo)(suo)引(yin)擎技术(shu)作为本地数(shu)(shu)据存储和(he)检索(suo)(suo)核心技术(shu),极大(da)提高(gao)检索(suo)(suo)性能(neng),可(ke)以提供(gong)TB级的(de)数(shu)(shu)据快速搜索(suo)(suo)能(neng)力(li),同时可(ke)为大(da)规(gui)模数(shu)(shu)据保存、攻击(ji)证据留存和(he)查询、实时关联分析提供(gong)坚实的(de)技术(shu)保障(zhang)。 

  • 安全态势一目了然

     通过(guo)可视(shi)化(hua)技术,将原(yuan)本碎片化(hua)的(de)威胁告警、异常行为(wei)(wei)告警、资产管理等数据结构化(hua),形(xing)成高维(wei)度的(de)可视(shi)化(hua)方案,以便于(yu)用户理解(jie);同(tong)时将威胁事件与业务进行有机结合,通过(guo)态(tai)(tai)势感知大屏将内网全局的(de)安全态(tai)(tai)势以图形(xing)化(hua)的(de)方式直观(guan)呈(cheng)现,将安全由不(bu)可见变为(wei)(wei)可见。  

法律声明 网站地图 联系J9九游会AG

©Thunisoft 北京(jing)J9九游会AG信息(xi)技(ji)术有(you)限公(gong)司 版权所有(you)