安全运营中心业界通常称为SOC(Security Operations Center),SOC采用集中管理方式,统一管理相关安全产品,搜集所有网内资产的安全信息,并通过对收集到的各种安全事件进行深层的分析、统计、和关联,及时反映被管理资产的安全情况,定位安全风险,对各类安全事件及时发现和定位,并及时提供处理方法和建议,协助管理员进行事件分析、风险分析、预警管理和应急响应处理。
SOC平台能够对各种多源异构数据源产生的信息进行收集、过滤、格式化、 归并、存储,并提供了诸如模式匹配、 风险分析、异常检测等能力,使用户对整个网络的运行状态进行实时监控和管理,对各种资产(主机、服务器、IDS、IPS、WAF等)进行脆弱性评估,对各种安全事件进行分析、统计和关联,并及时发布预警,提供快速响应能力。
其核心能力如下:
SOC平台可通过SNMP、SSH、Telent等协议,监控多种网络设备的运行状态,并对运行异常进行报警。监控功能包括:
SOC平台提供资产信息库维护能力,可对资产信息进行增加、删除、修改等,并支持资产检索功能,对被管设备资产信息可以按照设备IP地址、设备所属单位、设备类型、所属安全域、所属业务系统等条件进行单独或组合查询。
SOC平台支持基于IS013335和ISOl7799标准的风险计算分析和展现。可以从地域、业务系统、IP地址段等视角查看资产风险,及时掌握资产中产生的安全事件、配置脆弱性和安全漏洞。
SOC平台通过工单管理,实现对安全事件的快速闭环响应。
通过事件监控中心监测到安全事件后,手工或系统自动生成新的工单,并通过系统报警或邮件的方式,通知相关责任人进行处理。工单管理会对工单被派发后的整个过程进行跟踪,进行工单收回、重新派发等工作。
SOC平台能够通过多种方式收集事件源发送的安全事件信息,收集方式包含以下几种:
SOC平台中事件处理功能,主要负责对安全事件进行标准化、过滤、合并、集中存储。
SOC平台中关联分析采用基于规则关联或资产漏洞、威胁情报关联的方式,实时对事件进行统计分析,当满足条件的事件发生时,将触发对应的安全响应动作,如声音报警、邮件报警、手机短信报警等多种方式。
SOC平台的知识管理平台除提供一般知识管理功能, 比如安全知识库、培训和人员考核等,也提供了强大的漏洞库、事件特征库、补丁库、安全配置知识库和应急响应知识库等。
SOC平台报表提供对系统内的各类安全数据,进行全方位多角度的展现能力。如资产类型分布、攻击类事件分布、安全告警趋势等,并提供用户自定义及报表导出能力。
SOC平台第三方系统集成能力是SOC平台能够对网络安全进行综合评定的又一基础。SOC平台可以通过Webservice接口或第三方提供的API,从第三方系统或去必要信息,或者驱动第三方系统或设备进行有目的的工作。如SOC平台可以通过驱动漏洞扫描系统,对指定的资产进行漏洞扫描,并通过结果接口获取扫描结果,参与到事件的关联分析中。
基于某一个具体设备或系统,如WAF、IDS、IPS、漏洞扫描系统进行网络安全分析,信息较分散,容易增加误判、漏判的概率,且需要大量的专业人员,知识积累较困难,应急响应慢。
SOC平台通过收集各类相关安全信息,并进行相互之间的关联分析、印证,从多角度对网内资产进行安全分析和评估,并将安全运维工作流程化,极大提高了发现事件并及时处理响应的能力,同时通过知识积累和系统运维的完善,不断加强和完善网络的安全防护能力、攻击发现及应急响应能力。
关注微信
