中国电信SOC基础平台[参考].pptVIP

2.2事情关联分析 * 三种关联分析规则 基于规则的事件关联 漏洞关联分析 基于统计的关联分析 * 精品PPT·借鉴参考 安全预警来源 外部预警：它是由国家上级主管部门、安全服务提供商、防病毒软件提供商和设备软件厂商提供的。这种预警一般相关人员收集录入后，需要由管理人员进行审核后才能成为预警，所以模块必须提供人工审核干预的功能； 内部预警：来源是SOC平台内部的预警信息，和事件、脆弱性相关联。内部预警根据预先定义的、对事件的响应规则自动或手动生成的。 2.3安全预警 安全预警管理是根据来自内部预警信息、外部预警信息分析获得。是对可能发生的威胁的提前通告。安全预警是一种有效预防措施，和安全对象、风险管理等功能紧密联系在一起。 外部预警类型 安全通告：由专业安全公司提供的安全通告，是预警信息的主要来源，其包含漏洞、病毒、攻击警报等多种安全预警信息； 攻击预警：由外部安全预警组织，如国家应急响应中心或者其他组织发现的新类型网络攻击行为； 漏洞预警：操作系统软件提供商和设备提供商，通常会及时向用户发布其软件漏洞信息，同时提供解决方案； 病毒预警：成熟的防病毒软件厂商，通常会有病毒监控体系，及时发现新类型的病毒，并提醒用户对病毒特征库进行升级或者采取规避措施。 内部预警类型 安全事件预警：来源安全事件关联告警； 风险预警：来源风险评估结果； 漏洞预警：来源漏洞管理告警； 配置脆弱性预警：来源配置脆弱性告警。 完整性预警：来源完整性告警 * 精品PPT·借鉴参考 2.4脆弱性管理 * 脆弱性管理 漏洞管理 通过内置或者与第三方扫描器的联动，获取漏洞信息 以实时或者定时的方式对扫描对象进行漏洞扫描 配置脆弱性管理 通过将收集到的系统信息与安全基线对比，对设备配置的安全合规性进行评估 完整性检查 定时获取受监控数据的当前状态值，与基线状态值进行比较，检查数据是否偏离 完整性检查项包括： 目录 二进制文件 配置文件 进程 端口 启动项 注册表 * 精品PPT·借鉴参考 2.5漏洞管理 漏洞管理：由系统自身的问题引起的安全风险，如软件BUG、协议缺陷等，SOC平台具备对此类安全风险的发现及管理功能； 漏洞信息内容 SOC平台提供的漏洞信息包含以下内容： 系统类型 系统脆弱性范围 漏洞名称和编号 漏洞的描述 漏洞的解决措施 漏洞信息来源 SOC平台漏洞信息获取方式需要支持内置扫描器扫描、第三方漏洞扫描产品结果导入、或者其它组织或机构披露的漏洞信息导入三种方式。 SOC平台应支持对目前主流漏洞扫描产品扫描结果的导入、分析及处理，扫描结果能够自动导入到SOC平台，无需人工干预，可支持对常见TXT、HTML、XML等扫描结果的导入。 * 精品PPT·借鉴参考 配置脆弱性： SOC平台收集安全对象与安全相关的系统信息，通过与相关安全基线的比较，将不符合基线的配置作为弱点汇集到脆弱性管理模块，显示安全对象的安全脆弱性信息。 安全基线：主机或网络设备操作系统安全性设置标准，指导设备管理人员或安全管理人员进行设备安全配置。 2.6配置脆弱性 针对操作系统，配置检查的内容包括： 主机信息（包括主机系统版本、主机名、物理端口、IP等） 主机补丁信息 系统账号及口令配置信息 关键配置文件及目录 系统服务及进程 Windows操作系统的关键注册表项目 系统的自启动项及定时任务 系统的访问控制策略及日志审计策略等 针对网络及安全设备，配置检查的内容包括： 设备信息（产品厂商、型号、软件版本、端口、IP等） 设备账号及口令配置信息 系统配置文件 设备端口运行及启用情况 设备访问控制策略及路由情况 设备日志审计策略等 配置脆弱性管理功能模块应支持主流网络设备、安全设备及操作系统： 操作系统：包括Windows、AIX、HP Unix、Solaris、Linux等系统 网络设备：包括华为、Cisco、juniper等厂商的路由及交换机设备 安全设备：PIX等设备 * 精品PPT·借鉴参考 完整性检查：根据制定的安全策略对指定的文件或网络配置进行读取，并根据策略要求生成相应的基线状态值（文件属性、文件内容、哈希值等）。通过定制完整性检测任务，定时获取受监控数据的当前状态值，与基线状态值进行比较，发现数据偏离，通过各种方式通知安全管理人员进行进一步处理。 2.7完整性检查 完整性检查的内容主要包括： 目录 二进制文件 配置文件 进程 端口 启动项 注册表 完整性检查通过比较当前文件属性与基线数据库的差别，提供广泛及快速