en
首頁 服務與支持 運維服務 托管型SOC服務
托管型SOC服務

上訊SOC平臺簡介   


上訊SOC平臺由全方位主動性風險管理系統、全方位被動式安全日志事件大數據收集分析以及安全運維自動化及人工響應處理三大系統集成組合而成,是一個為第三方服務的托管型有24小時高水平安全人員值守的安全風險感知和應急響應服務平臺。

用戶通過專線或VPN接入上訊的SOC平臺。平臺提供自動化的對客戶內部IT系統的全方位主動性威脅檢查、被動性的對客戶內部IT系統產生的日志及安全事件的全方位收集,然后通過大數據關聯分析及人工篩查,將客戶內部不同時間及不同系統中的安全信息、事件及主動發現的弱點報告等進行關聯分析,實時的感知和預警客戶的安全威脅,并通過多種方式通知客戶,以及根據預設的情況和威脅等級進行威脅防范和處置。

上訊SOC由全方位主動性風險管理系統、全方位被動式安全日志和事件管理大數據收集、安全威脅處理修復方案組合而成,為客戶提供事前、事中和事后完整安全事件處理方案??蛻艨梢愿鶕约旱男枨筮x擇全部組件或必要的組件,以實現不同的安全防護目的和級別。


主動性威脅檢查服務方案


主動性威脅檢查需求

隨著業務的增長,安全管理部門所面對的威脅種類也同樣日益增多。管理人員每天都會接到有關系統漏洞、新軟件漏洞或新惡意代碼的警報,所有這些警報的安全級別很難一下判斷出來。因此,管理人員往往不由自主地被這類事務牽著鼻子走,采取既耗時又費力的行動,比如查漏洞、打補丁等。然而,這些行動不見能夠真正起到防護的作用。

識別風險并確定風險的等級,是采取合理有效措施的關鍵所在?;谀壳暗默F狀,上訊建議整合不同產品組合成一個整體風險評估方案進行全面發現風險并采取合適的防護措施,建立一套動態安全風險管理機制,使有限的資源可以集中用于應對企業面臨的最大威脅。


 主動性威脅檢查服務方案簡介

 主動性威脅檢查服務方案采取國內外產品組合互補方式。主動性威脅檢查提供了高級應用程序掃描、修復功能、管理安全指標以及指示板和關鍵法規遵從性報告。通過加速安全測試并為那些真正需要報告的人員提供報告,進而提高安全團隊的生產力。

為用戶提供全面了解復雜的IT基礎設施的安全和合規狀況的手段。主動性威脅檢查通過高級分析功能、可自定義的儀表板、報告和工作流程識別用戶IT基礎設施中的弱點、漏洞、配置錯誤和惡意軟件。

能夠及時發現計算機網絡中的安全風險,通過量化的安全風險監控及時發現風險的變化和了解安全風險變化的原因。

及時識別計算機網絡中的安全弱點,并且獲得具體的安全弱點的修補建議,并且能夠跟蹤修補過程、驗證修補結果,以便及時了解弱點是不是真正被消除。


主動性威脅檢查服務方案提供的服務內容

 1) 針對客戶基于Web的應用系統如銀行網銀和保險公司在線業務系統等,提供跨Internet或通過專線或VPN接入客戶內部的全方位主動性威脅檢查,實現安全威脅事前發現和處理。

 2) 針對客戶官方網站,提供跨Internet或通過專線或VPN接入客戶內部的全方位主動性威脅檢查,實現安全威脅事前發現和處理。

 3) 針對客戶的重要業務系統,如網絡設備、服務器和數據庫等,涉及最廣泛的安全評估和漏洞掃描范圍,提供通過專線或VPN接入客戶內部的全方位主動性威脅檢查,實現安全威脅事前發現和處理。

 4) 針對客戶的應用系統,配合相關部門進行安全漏洞發現和安全性測試。

 5) 為客戶提供漏洞檢查報告。

 6) 為客戶提供漏洞分析和處理建議。

 7) 為客戶直接處理修復漏洞,事前解決安全隱患。

 8) 提供豐富的報表和漏洞管理功能。針對客戶應用眾多、設備和系統等分布比較廣泛等實際情況,提供強大和完整的報表展示功能、漏洞報告和管理功能,以便于客戶不同層面的人員,如高層管理人員,部門管理人員,技術人員等,能夠查看不同層面和粒度的數據和報表,從而簡化日常的管理和維護。

   

全方位被動式安全檢查服務


 全方位被動式安全檢查需求

 IT生產環境中所使用的應用、操作系統、交換機、路由器和信息安全產品等都會產生大量的相關操作審計等日志和事件,這些日志和事件包含了大量安全信息。但日志和事件的量非常龐大,如在一個約200臺服務器,總共248臺IT設備的環境中,每秒事件數量信息如下表:            

安全大數據日志和事件總量計算

從上表可以得出每秒事件數量1556件/秒,一天事件總量為:1556*(60*60*24)=134438400(條/天),即一天的事件總量超過1.3億條。如此龐大的數據無法靠人工分析完成,更難以確定和篩選那些是真正的攻擊。

綜上所述:需要通過自動化方式實現不同時間和不同設備的日志和事件關聯分析,才能過濾出真實存在的安全威脅。


全方位被動式安全檢查服務方案簡介

全方位被動式安全檢查服務以SIEM(security information andevent management安全信息和事件管理)為核心,通過SIEM統一日志管理平臺實現日志收集、日志處理、日志存儲及安全事件管理和關聯分析等。安全事件具有潛在威脅的各類攻擊行為或操作行為或不恰當的訪問嘗試。安全事件數量巨大,散落在個系統中,但它不一定是真實的,因此,系統需要將這些安全日志、告警信息進行集中收集、標準化、歸并過濾、威脅聯動和關聯分析,力求與目標資產相關聯,與目標資產上面的弱點漏洞相關,以分辨判斷是否是真實的安全事件,即事故。

方案包含:

1)SIEM日志管理功能模塊可以對SIEM中收集的日志進行集中處理,日志采集包括路由器、交換機、防火墻、VPN、IDS/IPS等網絡設備日志或通過在本地系統平臺上安裝Agent收取日志文件中的日志信息,可以實現不同的條件查詢和歸類。

2)SIEM可以通過內置和根據客戶實際情況自定義的相關規則和知識庫,對不同類型的事件和Flow進行關聯分析,并結合相關規范和規則,對安全事件進行全面的分析和預警。內置的幾百個關聯分析規則,可根據不同系統運維、安全管理的需求,以及上訊的專業建議,靈活地設計關聯分析規則,便于管理規范的落地。同時SIEM關聯分析規則支持自定義功能,上訊資深安全工程師根據企業自身事件環境需求,可自行定義關聯規則。

3)Flow是流的收集和分析流,對4層網絡信息進行安全分析。

最終通過報表方式提供給客戶風險分析結果和風險處理方案。

 

上訊風險感知處理平臺提供的SIEM服務內容

通過上訊SIEM內置的規則和關聯分析機制,可以自動過濾和分析出龐大的日志和事件,通過不同角度的大數據關聯分析提供給用戶真正的安全威脅。是一款已經被安全行業廣泛認可的安全事件大數據分析系統。幾億的大數據,經過SOC關聯分析后一般只有幾百甚至只有幾十條安全警告需要人工進一步分析,經過持續優化,可以實現只有幾條告警需要人工處理,而這幾條基本就是真正的威脅,需要及時處理。SOC的使用實現了分析過濾出用戶人工或通過其它技術手段不可能分析出來的風險,極大節省了用戶人工成本,并提升了用戶信息安全級別和風險管理能力。

1)接入標準設備日志(SIEM可自動識別的)。

2)接入非標準設備日志,實現自定義開發整合。

3)接入流。

4)測試確認Log和Qflow正常接入。

5)關鍵網絡資產錄入。

6)集成MSS和QA等流程。

7)根據威脅用例調整默認規則。

8)根據威脅用例新增規則。

9)優化Dashboard。

10)提供合理有效的建議,使得產生的Offense能結合客戶的安全事件響應流程進行有效的分析、跟蹤和處理。

11)安全事件監控和分析。

12)持續根據威脅用例調整默認規則。

13)根據威脅新增規則。

14)提供合理有效的建議,使得產生的Offense能結合客戶的安全事件響應流程進行有效的分析、跟蹤和處理。

15)定期提供報告。

16)按需提供報告。


安全威脅處理修復服務方案   


安全威脅處理服務需求

用戶通過上訊主動性威脅檢查和全方位被動式安全檢查或其它方式發現的安全風險需要進行修復,以確保生產環境安全。


安全威脅處理服務方案簡介

隨著數字化企業發展,新的應用程序交付大幅提升,企業內的潛在漏洞風險也在成倍地積聚。事實上,福布斯發表的調查報告顯示,盡管企業有安全整治計劃,44%的企業仍然受漏洞的威脅。

安全威脅處理服務方案幫助企業實現漏洞優先級排序并修復關鍵漏洞,并系統地解決違規行為使系統合規。主要包含:

1) 提供安全信息及變更管理。

 2) 實現風險漏洞的自動修復及合規

 3) 結合客戶現有產品如防火墻、IPS和交換機等實現修復及合規。

 4) 提供安全威脅處理報告。

 

安全威脅處理修復服務方案內容

安全威脅處理修復服務方案可以和SOC中的主動性威脅檢查和SIEM全方位被動式安全檢查服務整合,主動性威脅檢查和SIEM全方位被動式安全檢查服務實現檢查,而安全威脅處理服務方案實現威脅處理,實現事前防御。同時可以和SIEM結合,修復SIEM發現的問題,實現事前或事后防護。

1)發現

發現工具可以識別發現客戶數據中心內所有服務器及網絡設備,可以發現某種類型的服務器缺少補丁從而暴露出安全隱患。

發現工具更新資產信息到CMDB中。

資產管理可以管理客戶在CMDB中的資產, 并記錄補丁信息。當打了新的補丁后,可以呈現資產服務器概貌信息。

2)威脅分析

安全運維團隊創建安全事件工單。

分析主動性威脅檢查的掃描結果。

根據掃描結果映射資產信息和已知補丁。

為修復動作創建變更請求。

IT運維團隊關聯安全變更工單和安全事件單。

3)修復

通過服務器和網絡自動修復模塊實現服務器或網絡設備的安全修復。

做服務器修復或者作網絡配置修復。

4)通知

當事故發生后,事件管理平臺會創建一個安全事件。IT運維人員將會被告知事件和狀態信息。對于關鍵核心系統,服務影響模型可以讓IT運維團隊知道安全威脅對業務影響度以及什么人會被影響到。


黑龙江十一选五一天多少期