深圳市永达电子股份有限公司
2.4资产管理
2.4.1资产配置关系库
系统提供了一个全自动,无所不包的资产配置关系库,它可以自动发现用户环境中的设备,软件,补丁,用户和目录对象,将它们智能地分组,并维护这个明晰的清单。集成的变更管理,实时状态和服务依赖关系则,使得企业在资产管理,合规管理和解决问题的能力上得以加强。
SOC资产配置管理的核心是资产配置模型,该模型详细地描述了SOC管理的设备,同时还描述了设备之间、业务对象之间以及其它用户定义的重要分组之间的关系。由于该模型高度复杂,因此模型信息的来源也多种多样,其中一个最主要的来源称之为资产采集子系统,资产采集子系统通过各种可用的方式来发现设备上的服务、接口、主机上的进程、服务、文件等信息。利用所采集的信息,在系统中建立一个基于资产模型的资产配置关系库,成为SOC中所有审计操作的基础。 2.4.2资产信息关联
资产类别:网络设备、服务器、工作站、存储设备、周边环境设备等。对于每种设备,除了列表显示基础属性(名称、IP、类型、版本、变更、审批状态、维护信息等等),还可关联查看丰富的相关信息,包括:
? 设备概览:属性概要、状态概要、健康概要、维护安排等
? 健康状态:包括可用性健康状态、性能健康状态和安全健康状态。 ? 联系人:负责该设备维护的人员信息。
? 网络接口: 列表显示设备中每一个接口的基本属性,以及设备的
UP/DOWN状态。
? 软件:分类列表显示设备中所安装的各种软件。 ? 硬件:列表显示设备中所包含的主要硬件。 ? 配置:可以比较两个配置间的差异
? 资产关系:查看设备中各种软件、组件间的关系,或与其它设备资产的关
系。
第 9 页 共 22 页
深圳市永达电子股份有限公司
2.4.3资产建模与发现
资产配置模型描述了每一设备硬件信息、操作系统、安装软件,以及运行服务等方面的信息,据此,永达SOC可以自动发现并识别网络中的设备,并根据预配置的监视模板对资产进行状态监视。从而SOC可以适应复杂IT环境的监视和管理需求。 2.4.4资产等高分析
资产等高分析可以帮助用户从完整性(I)、私密性(C)、可用性(A)三个角度把握全局的的资产安全状态。直观地了解不同级别资产的正在面临的威胁事件,或者了解海量事件所影响的资产。
根据资产的重要程度进行分级,对每一级别资产,分别统计影响其完整性(I)、私密性(C)、可用性(A)的事件;对任意两级资产,统计主体、客体位于不同资产级别的事件,并按完整性(I)、私密性(C)、可用性(A)事件进行分类。然后把这些统计结果以可视的方式展现出来,用户可以钻取资产、事件的详细属性以及状态。
第 10 页 共 22 页
深圳市永达电子股份有限公司
2.4.5资产状态监视
系统基于资产配置管理数据库,使用状态监视模型插件,可以深入、全方位地为用户展示其IT设施的状态,从网络到服务器,再到其应用程序、IP服务、文件系统、进程等等。系统通过支持SNMP、SSH、WMI、SYSLOG、TELNET等协议,实现无代理数据采集,从而最大限度地减少对被监视系统的影响。
1) 可用性监控
可用性测试包括针对IT基础架构的系统运行测试,通过测试可以判断系统是否在正常运行,测试手段包括:ping测试、进程测试和服务测试。 2) 性能监视
性能监视系统的作用是,跟踪重要的IT资源信息并随时记录其变化。通过SNMP、自定义脚本(python script) 或XML-RPC来采集数据。 3) 事件管理
事件管理是Soc系统各部分状态信息以及受其监视系统信息的一个整合。还可接入来自IT基础设施其它部分的事件,这其中包括Syslog和SNMP Traps。Ssoc收到这些事件后,通过一套规则进行处理并最终将这些事件整合进Ssoc模型。
2.5安全事件管理
2.5.1安全事件采集
安全事件采集支持的设备类型有网络设备,安全设备,安全程序,应用程序,操作系统,数据库,反病毒等。这些设备或者应用程序使用SNMP 、Syslog或者客户端程序将日志数据发送到SOC管控器。数据在送到SOC管控器以后, SOC管控器通过规则进行过滤,使用设备类型进行分类,对各种日志进行分类、聚合,加密、格式规范化。
2.5.2安全事件监控
安全事件监控负责实时监控网络的安全事件状态,是实时掌握全网的安全威胁状况的重要手段之一。通过事件监控模块监控网络各个网络设备、主机系统等日志信息,以及安全产品的安全事件日志信息等,及时发现正在和已经发生的安全事件,通过响应管理中心模块采取措施,保证网络和业务系统的安全、可靠运行。实时将其结果输入综合分析决策支持与预警平台。
第 11 页 共 22 页
深圳市永达电子股份有限公司
安全事件监控中心还包括网络异常流量监控模块。蠕虫和DDOS攻击是影响网络正常运行的主要安全威胁之一。通过异常流量监控模块实时监控重要网络链路的流量状况,可以及时检测网络中的异常流量,采取有效措施降低异常流量对网络的影响。 2.5.3实时事件关联分析
安全管理平台的关联技术也是我们产品的核心技术,由于任何一项单独的关联技术都是不全面的,所以基于这点,我们采用了混合关联技术混合关联引擎。最大限度的减少误报提高准确性,在混合关联技术中我们主要使用以下技术:
? 统计关联技术。所有的安全事件将为优先化处理给以一个安全级别。这样管理员就不需要去用眼睛看数千个警报了。而且管理员可以自定义极限值以减少勿报的几率,通过安全监控及早的发现危险。
? 漏洞信息关联技术。主要是收集第三方管理漏洞系统的信息,这个过程将使用来自CVE信息来进行关联。我们提供专用的工具将漏洞管理信息导入到我们的数据库。因为关联过程中使用了最新的来自CVE的信息(我们的安全知识库是可以进行更新的,并且可以自我定义),而且可以提供相关知识连接,所以能及时发现最新的安全隐患。
? 状态式 (基于规则) 关联技术。用户可以预先定义的商业资产值和状态式规则,状态式关联可以辨别真正的攻击。当采集到的事件符合规则中的任何情形的时候,安全管理平台就把作为一个真实的攻击进行分类,并且触发一个安全警告,使安全管理员能及时高效的对真正的攻击做出反应。 ? 机器自动学习技术。这是基于聚合的技术,它把组中的不同类型的设备之间有关系的事件汇聚成一个事件。
通过采用上述关联分析技术,SOC将来自不同设备的日志事件纪录(例如:防火墙、入侵检测系统、防毒软件、网络设备、操作系统、数据库及其它应用程序等),进行数据采集、关联分析、事件优先重要性分析及可视化呈现。这样杂乱且繁多无章的系统信息就自动转换成有意义、且利于用户对安全故障做出响应的有用信息。
利用安全事件回放的功能及统计分析显示报告功能,提供事后调查取证的能力。
第 12 页 共 22 页
相关推荐:
loading