en
首页 服务与支持 运维服务 托管型SOC服务
托管型SOC服务

上讯SOC平台简介   


上讯SOC平台由全方位主动性风险管理系统、全方位被动式安全日志事件大数据收集分析以及安全运维自动化及人工响应处理三大系统集成组合而成,是一个为第三方服务的托管型有24小时高水平安全人员值守的安全风险感知和应急响应服务平台。

用户通过专线或VPN接入上讯的SOC平台。平台提供自动化的对客户内部IT系统的全方位主动性威胁检查、被动性的对客户内部IT系统产生的日志及安全事件的全方位收集,然后通过大数据关联分析及人工筛查,将客户内部不同时间及不同系统中的安全信息、事件及主动发现的弱点报告等进行关联分析,实时的感知和预警客户的安全威胁,并通过多种方式通知客户,以及根据预设的情况和威胁等级进行威胁防范和处置。

上讯SOC由全方位主动性风险管理系统、全方位被动式安全日志和事件管理大数据收集、安全威胁处理修复方案组合而成,为客户提供事前、事中和事后完整安全事件处理方案。客户可以根据自己的需求选择全部组件或必要的组件,以实现不同的安全防护目的和级别。


主动性威胁检查服务方案


主动性威胁检查需求

随着业务的增长,安全管理部门所面对的威胁种类也同样日益增多。管理人员每天都会接到有关系统漏洞、新软件漏洞或新恶意代码的警报,所有这些警报的安全级别很难一下判断出来。因此,管理人员往往不由自主地被这类事务牵着鼻子走,采取既耗时又费力的行动,比如查漏洞、打补丁等。然而,这些行动不见能够真正起到防护的作用。

识别风险并确定风险的等级,是采取合理有效措施的关键所在。基于目前的现状,上讯建议整合不同产品组合成一个整体风险评估方案进行全面发现风险并采取合适的防护措施,建立一套动态安全风险管理机制,使有限的资源可以集中用于应对企业面临的最大威胁。


 主动性威胁检查服务方案简介

 主动性威胁检查服务方案采取国内外产品组合互补方式。主动性威胁检查提供了高级应用程序扫描、修复功能、管理安全指标以及指示板和关键法规遵从性报告。通过加速安全测试并为那些真正需要报告的人员提供报告,进而提高安全团队的生产力。

为用户提供全面了解复杂的IT基础设施的安全和合规状况的手段。主动性威胁检查通过高级分析功能、可自定义的仪表板、报告和工作流程识别用户IT基础设施中的弱点、漏洞、配置错误和恶意软件。

能够及时发现计算机网络中的安全风险,通过量化的安全风险监控及时发现风险的变化和了解安全风险变化的原因。

及时识别计算机网络中的安全弱点,并且获得具体的安全弱点的修补建议,并且能够跟踪修补过程、验证修补结果,以便及时了解弱点是不是真正被消除。


主动性威胁检查服务方案提供的服务内容

 1) 针对客户基于Web的应用系统如银行网银和保险公司在线业务系统等,提供跨Internet或通过专线或VPN接入客户内部的全方位主动性威胁检查,实现安全威胁事前发现和处理。

 2) 针对客户官方网站,提供跨Internet或通过专线或VPN接入客户内部的全方位主动性威胁检查,实现安全威胁事前发现和处理。

 3) 针对客户的重要业务系统,如网络设备、服务器和数据库等,涉及最广泛的安全评估和漏洞扫描范围,提供通过专线或VPN接入客户内部的全方位主动性威胁检查,实现安全威胁事前发现和处理。

 4) 针对客户的应用系统,配合相关部门进行安全漏洞发现和安全性测试。

 5) 为客户提供漏洞检查报告。

 6) 为客户提供漏洞分析和处理建议。

 7) 为客户直接处理修复漏洞,事前解决安全隐患。

 8) 提供丰富的报表和漏洞管理功能。针对客户应用众多、设备和系统等分布比较广泛等实际情况,提供强大和完整的报表展示功能、漏洞报告和管理功能,以便于客户不同层面的人员,如高层管理人员,部门管理人员,技术人员等,能够查看不同层面和粒度的数据和报表,从而简化日常的管理和维护。

   

全方位被动式安全检查服务


 全方位被动式安全检查需求

 IT生产环境中所使用的应用、操作系统、交换机、路由器和信息安全产品等都会产生大量的相关操作审计等日志和事件,这些日志和事件包含了大量安全信息。但日志和事件的量非常庞大,如在一个约200台服务器,总共248台IT设备的环境中,每秒事件数量信息如下表:            

安全大数据日志和事件总量计算

从上表可以得出每秒事件数量1556件/秒,一天事件总量为:1556*(60*60*24)=134438400(条/天),即一天的事件总量超过1.3亿条。如此庞大的数据无法靠人工分析完成,更难以确定和筛选那些是真正的攻击。

综上所述:需要通过自动化方式实现不同时间和不同设备的日志和事件关联分析,才能过滤出真实存在的安全威胁。


全方位被动式安全检查服务方案简介

全方位被动式安全检查服务以SIEM(security information andevent management安全信息和事件管理)为核心,通过SIEM统一日志管理平台实现日志收集、日志处理、日志存储及安全事件管理和关联分析等。安全事件具有潜在威胁的各类攻击行为或操作行为或不恰当的访问尝试。安全事件数量巨大,散落在个系统中,但它不一定是真实的,因此,系统需要将这些安全日志、告警信息进行集中收集、标准化、归并过滤、威胁联动和关联分析,力求与目标资产相关联,与目标资产上面的弱点漏洞相关,以分辨判断是否是真实的安全事件,即事故。

方案包含:

1)SIEM日志管理功能模块可以对SIEM中收集的日志进行集中处理,日志采集包括路由器、交换机、防火墙、VPN、IDS/IPS等网络设备日志或通过在本地系统平台上安装Agent收取日志文件中的日志信息,可以实现不同的条件查询和归类。

2)SIEM可以通过内置和根据客户实际情况自定义的相关规则和知识库,对不同类型的事件和Flow进行关联分析,并结合相关规范和规则,对安全事件进行全面的分析和预警。内置的几百个关联分析规则,可根据不同系统运维、安全管理的需求,以及上讯的专业建议,灵活地设计关联分析规则,便于管理规范的落地。同时SIEM关联分析规则支持自定义功能,上讯资深安全工程师根据企业自身事件环境需求,可自行定义关联规则。

3)Flow是流的收集和分析流,对4层网络信息进行安全分析。

最终通过报表方式提供给客户风险分析结果和风险处理方案。

 

上讯风险感知处理平台提供的SIEM服务内容

通过上讯SIEM内置的规则和关联分析机制,可以自动过滤和分析出庞大的日志和事件,通过不同角度的大数据关联分析提供给用户真正的安全威胁。是一款已经被安全行业广泛认可的安全事件大数据分析系统。几亿的大数据,经过SOC关联分析后一般只有几百甚至只有几十条安全警告需要人工进一步分析,经过持续优化,可以实现只有几条告警需要人工处理,而这几条基本就是真正的威胁,需要及时处理。SOC的使用实现了分析过滤出用户人工或通过其它技术手段不可能分析出来的风险,极大节省了用户人工成本,并提升了用户信息安全级别和风险管理能力。

1)接入标准设备日志(SIEM可自动识别的)。

2)接入非标准设备日志,实现自定义开发整合。

3)接入流。

4)测试确认Log和Qflow正常接入。

5)关键网络资产录入。

6)集成MSS和QA等流程。

7)根据威胁用例调整默认规则。

8)根据威胁用例新增规则。

9)优化Dashboard。

10)提供合理有效的建议,使得产生的Offense能结合客户的安全事件响应流程进行有效的分析、跟踪和处理。

11)安全事件监控和分析。

12)持续根据威胁用例调整默认规则。

13)根据威胁新增规则。

14)提供合理有效的建议,使得产生的Offense能结合客户的安全事件响应流程进行有效的分析、跟踪和处理。

15)定期提供报告。

16)按需提供报告。


安全威胁处理修复服务方案   


安全威胁处理服务需求

用户通过上讯主动性威胁检查和全方位被动式安全检查或其它方式发现的安全风险需要进行修复,以确保生产环境安全。


安全威胁处理服务方案简介

随着数字化企业发展,新的应用程序交付大幅提升,企业内的潜在漏洞风险也在成倍地积聚。事实上,福布斯发表的调查报告显示,尽管企业有安全整治计划,44%的企业仍然受漏洞的威胁。

安全威胁处理服务方案帮助企业实现漏洞优先级排序并修复关键漏洞,并系统地解决违规行为使系统合规。主要包含:

1) 提供安全信息及变更管理。

 2) 实现风险漏洞的自动修复及合规

 3) 结合客户现有产品如防火墙、IPS和交换机等实现修复及合规。

 4) 提供安全威胁处理报告。

 

安全威胁处理修复服务方案内容

安全威胁处理修复服务方案可以和SOC中的主动性威胁检查和SIEM全方位被动式安全检查服务整合,主动性威胁检查和SIEM全方位被动式安全检查服务实现检查,而安全威胁处理服务方案实现威胁处理,实现事前防御。同时可以和SIEM结合,修复SIEM发现的问题,实现事前或事后防护。

1)发现

发现工具可以识别发现客户数据中心内所有服务器及网络设备,可以发现某种类型的服务器缺少补丁从而暴露出安全隐患。

发现工具更新资产信息到CMDB中。

资产管理可以管理客户在CMDB中的资产, 并记录补丁信息。当打了新的补丁后,可以呈现资产服务器概貌信息。

2)威胁分析

安全运维团队创建安全事件工单。

分析主动性威胁检查的扫描结果。

根据扫描结果映射资产信息和已知补丁。

为修复动作创建变更请求。

IT运维团队关联安全变更工单和安全事件单。

3)修复

通过服务器和网络自动修复模块实现服务器或网络设备的安全修复。

做服务器修复或者作网络配置修复。

4)通知

当事故发生后,事件管理平台会创建一个安全事件。IT运维人员将会被告知事件和状态信息。对于关键核心系统,服务影响模型可以让IT运维团队知道安全威胁对业务影响度以及什么人会被影响到。


山东十一运夺金 重庆体彩网 辽宁体彩网 河北11选5走势图 重庆福彩网 湖南幸运赛车 山东福彩网 湖南幸运赛车 西藏体彩网 湖南幸运赛车走势图