安氏领信SOC4.0系统介绍.pptVIP

* * * 第三、六、七、八、九、十一部分是我们SOC系统功能所覆盖的规范 * 安全框架从细化的公共安全服务到总体的安全战略管理。 安全监控：风险管理、告警监控 维护管理：工单管理、预警管理 变更管理：漏洞管理、配置管理、变更检查 故障管理：安全告警处理工作、安全事件处理工作 * * * * 展现个人管理范围内风险状况 统一安全管理子系统入口 集中待办事宜面板 * 展现个人管理范围内风险状况 统一安全管理子系统入口 集中待办事宜面板 * 展现个人管理范围内风险状况 统一安全管理子系统入口 集中待办事宜面板 * 展现个人管理范围内风险状况 统一安全管理子系统入口 集中待办事宜面板 * 展现个人管理范围内风险状况 统一安全管理子系统入口 集中待办事宜面板 * 展现个人管理范围内风险状况 统一安全管理子系统入口 集中待办事宜面板 * 展现个人管理范围内风险状况 统一安全管理子系统入口 集中待办事宜面板 * 展现个人管理范围内风险状况 统一安全管理子系统入口 集中待办事宜面板 * 关联规则：针对同一源地址对同一台安全设备短时间内多次登录失败行为的关联策略，设置在2分钟内出现5次的时间窗口。 * * IP事件管理可以通过以下角度进行查看： 1、组织：用户管理中组织结构，即企业的部门结构； 2、地域：同风险管理中地域结构 3、业务系统：资产管理中业务系统结构 4、地址段：系统自动统计产生的IP地址段 * IP事件管理可以通过以下角度进行查看： 1、组织：用户管理中组织结构，即企业的部门结构； 2、地域：同风险管理中地域结构 3、业务系统：资产管理中业务系统结构 4、地址段：系统自动统计产生的IP地址段 * * * 响应管理 响应规则类型 资产事件类 扫描漏洞类 配置脆弱性类 告警类 运行日志类 Email方式 SNMP TRAP方式 短信方式 工单方式 syslog方式 自定义方式 启用响应规则 停用响应规则 设置相应规则优先级 是否继续匹配其他响应规则 响应条件 响应方式 响应规则管理 资产事件类 事件名称 源/目的端口 源/目的地址 ……… 扫描漏洞类 漏洞名称 漏洞级别 资产范围 配置脆弱性类 基线编号 严重程度 资产范围 告警类 告警名称 严重级别 资产/业务系统范围 运行日志类 日志内容 严重级别 组件 主题管理 安氏SOC系统提供多种页面主题风格，用户可以根据习惯选择使用。 议程 SOC4.0改进 3.1 统一门户管理 3.2 风险管理子系统 3.3 脆弱性管理子系统 3.4 事件管理子系统 3.5 报表管理子系统 3.6 系统基础功能 3.7 为什么需要安全管理中心 1 安全管理中心体系架构 2 安全管理中心功能介绍 3 安全管理中心案例和总结 4 SOC优势介绍 3.8 安全告警监控 告警规则设置 安全告警来源 安全告警分析 安全事件告警 漏洞扫描告警 配置基线告警 配置变更告警 非资产告警 统计告警 安全告警监控 告警归并 告警规则匹配 告警知识匹配 设置实时告警规则 事件 漏洞 配置脆弱性 设置统计告警规则 防火墙规则（8个） IDS规则（2个） 防病毒规则（8个） 漏洞规则（4个） ………. WEB按状态监控 待处理告警 已确认告警 已派单告警 安全监控工具(C/S) 多文档监控 列表监控 图形监控 其他告警管理功能 告警查看 过滤器设置 告警知识设置 告警设置 告警归并数量 告警最后产生时间 告警详细信息 告警处理 自定义显示字段 设置字段显示顺序 设置告警声音 告警确认 告警清除 告警转工单 告警过滤器设置 事件-漏洞关联 漏洞-补丁关联 病毒-补丁关联 告警流程 安全告警流程 安全事件告警流程 安全漏洞告警流程 配置脆弱性告警流程 事件告警举例 被管设备 事件关联分析 事件归并 关联知识 事件标准化 事件过滤 存入数据库 触发告警 计算风险 事件关联资产 系 统 总 线 原始事件内容 sshd(pam_unix)[31038]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=6 user=root 事件名称：sshd authentication failure 日志分类 ： 访问控制 ? 日志详细分类： 用户登录 源进程名： sshd(pam_unix) 源地址： 6 ? 行为执行者帐号：root 目标对象类型：管理用户 ? 动作目标地址：32 ? 动作结果 ：