SOC競爭對手分析和規(guī)劃.ppt

SOC平臺功能分析研發(fā)中心林寶晶 市場上主流的SOC平臺東軟SOC華三的SecCenter天融信的TopAnalyser TSM聯(lián)想網(wǎng)御安氏ArcSightESMCiscoSIMS MARSRSA產(chǎn)品規(guī)劃SOC產(chǎn)品的價值TSOC的不足短期和長期規(guī)劃 東軟SOC架構(gòu) 數(shù)據(jù)采集層 根據(jù)要求從網(wǎng)絡設備 安全設備 主機系統(tǒng)等數(shù)據(jù)來源采集各種安全信息 數(shù)據(jù)處理層 將采集到的原始安全信息進行關聯(lián)分析處理 實現(xiàn)格式標準化 根據(jù)策略進行數(shù)據(jù)歸并和壓縮后 存儲到數(shù)據(jù)庫中 應用服務層 從數(shù)據(jù)庫中提取信息 按照策略完成數(shù)據(jù)的過濾 條件分析 為展示平臺提供數(shù)據(jù)支持 同時還是展示平臺進行資源配置的接口 展示平臺層 實現(xiàn)NetEye安全運維平臺的統(tǒng)一界面展示 通過統(tǒng)一的圖形化管理界面 NetEye安全運維平臺實現(xiàn)了安全監(jiān)控 維護 管理 展示的全部功能 東軟SOC 東軟SOC 資產(chǎn)管理脆弱性管理風險管理安全信息監(jiān)控策略管理工單管理知識庫管理安全預警故障信息顯示報表關聯(lián)分析 TSOC和東軟SOC的比較 華三SecCenter SecCenter的核心價值體現(xiàn)在于其事件關聯(lián)功能上 數(shù)據(jù)采集協(xié)議支持 NetStream NetFlow CFlow Syslog WindowsWMI ODBC定位于SIEM 不是SOC 華三SecCenter 監(jiān)控事件關聯(lián)分析網(wǎng)絡的拓撲展示 TSOC與華三的比較 天融信TSM TSM TrustNetworkSecurityManagementSystem 是天融信新一代網(wǎng)絡安全綜合管理平臺 TSM采用代理 服務器 管理器的三層結(jié)構(gòu) 天融信TSM 資產(chǎn)管理網(wǎng)絡拓撲管理策略管理監(jiān)控事件智能檢測事件分析 天融信TopAnalyser TopAnalyzer作為soc中心的軟件平臺 以風險管理為核心 資產(chǎn)管理為基礎 事件管理為主線 輔以有效的管理 監(jiān)視與響應功能 為用戶構(gòu)建動態(tài)的可信安全管理體系 天融信TopAnalyser 天融信TopAnalyser 事件管理安全分析與報表資產(chǎn)管理知識庫實時監(jiān)控關聯(lián)分析基于專家系統(tǒng)的輔助決策系統(tǒng)基于規(guī)則的安全響應與報警全局內(nèi)風險管理與計算工單管理 TSOC和TopAnalyser的比較 聯(lián)想網(wǎng)御 安全管理平臺 聯(lián)想網(wǎng)御針對對企業(yè)信息安全比較重視的中高端用戶推出的第三代安全管理平臺定位于集中設備監(jiān)控和全局審計分析 是網(wǎng)絡安全的中樞神經(jīng)系統(tǒng) 也是聯(lián)想網(wǎng)御信息安全解決方案的核心 聯(lián)想網(wǎng)御 安全管理平臺 聯(lián)想網(wǎng)御 安全管理平臺 聯(lián)想網(wǎng)御 安全管理平臺 設備管理設備監(jiān)控告警管理 告警關聯(lián) 日志審計資產(chǎn)管理策略管理 防火墻和VPN的策略配置 風險管理級聯(lián)管理 多級 TSOC與聯(lián)想網(wǎng)御的比較 安氏SOC 資產(chǎn)管理風險管理脆弱性管理工單預警統(tǒng)計分析 關聯(lián)分析 知識庫管理指標管理 CiscoSIMS 是一個安全信息管理 SIM 應用程序 它可實現(xiàn)與多種不同安全產(chǎn)品之間的異種機互操作性 因此可使網(wǎng)絡管理人員集中監(jiān)控 管理和監(jiān)督企業(yè)網(wǎng)絡的安全性 范式化后的9中事件 訪問 身份驗證 授權應用程序盜用配置 系統(tǒng)狀態(tài)拒絕服務躲避違反政策偵察企圖未知 可疑病毒 特洛伊木馬 CiscoSIMS 風險和威脅分析評估監(jiān)控事件響應管理多級關聯(lián)知識庫 CiscoCS MARS CS MARS CiscoSecurityMonitoring AnalysisandResponderSystem 定義了事件被處理的流程 8個步驟 充分利用了網(wǎng)絡拓撲的屬性 來減少誤報 發(fā)現(xiàn)網(wǎng)絡熱點 找到最佳防御點和提高證據(jù)分析能力 CiscoCS MARS 智能網(wǎng)絡拓撲發(fā)現(xiàn)事件進程化管理風險關聯(lián)分析流量異常分析誤報分析安全預警與響應脆弱性評估報表 ArcsightESM ArcsightESM ArcSight體系結(jié)構(gòu) 可滿足世界上規(guī)模最大的 安全性能要求最高的網(wǎng)絡的需要ArcSightESM的擴展不僅限于單級部署 多級和對等方式部署也能夠很好的進行擴展 因此 您可以采用最適合您企業(yè)的方式進行部署 無論是部署單個安全營運中心 SOC 還是部署地理位置分散 相互間必須不斷共享信息的多個安全營運中心 ArcsightESM 事件監(jiān)控響應處理智能關聯(lián)合規(guī)性報告多級部署支持Discovery分析工具 RSAEnvision RSAEnvision 關聯(lián)預警審計管理安全事件管理行為合規(guī)性檢測實時監(jiān)控預警 與基線做比較 基線管理脆弱性分析集成 競爭對手功能對比表 SOC產(chǎn)品的價值 客戶的價值從眾多安全事件中分析網(wǎng)絡的安全狀況 進行從宏觀到微觀的展示 可以定位出安全事件的焦點 可以做到逐步鉆取的達到準確定位 提供給客戶一份安全 合規(guī)性報告 是否可以提供深度的事后數(shù)據(jù)挖掘 企業(yè)內(nèi)部的價值為企業(yè)的安全產(chǎn)品提供整體的解決方案 為公司提供和大客戶和戰(zhàn)略客戶合作提供基礎 SOC發(fā)展方向 實時監(jiān)控關聯(lián)分析數(shù)據(jù)智能挖掘威脅管理風險管理等級保護綜合審計數(shù)據(jù)存儲 TSOC現(xiàn)在的狀況 SIMS引擎數(shù)據(jù)采集分類不合理功能全 但是不精產(chǎn)品業(yè)務流程混亂界面的監(jiān)控顯示不突出報表的內(nèi)容太蒼白用戶的網(wǎng)絡安全宏觀監(jiān)控沒有配置部署太復雜模塊化程度不高 產(chǎn)品和定制開發(fā)成本高 產(chǎn)品規(guī)劃目標 短期目標加強TSOC的市場競爭力 核心功能 補充從前方來的客戶需求長期目標立足核心功能 深度發(fā)展核心功能建立架構(gòu)靈活的SOC產(chǎn)品平臺 降低產(chǎn)品和定制開發(fā)成本產(chǎn)品線細分 多樣化在國內(nèi)的SOC競爭 技術 中應該處于NO 1 產(chǎn)品短期規(guī)劃 一 TSOC3 0 8 0引進基線管理 讓系統(tǒng)可以在事件 流量方面可以通過學習過程 建立標準區(qū)域基準 通過對比區(qū)域基準 來做全局的整體網(wǎng)絡安全 流量異常分析展示 對全局的展示 可以進行數(shù)據(jù)鉆取 從整體 局部 設備 事件 來準確定位事件 增加安全報告 在內(nèi)容和格式上改進 改進關聯(lián)分析子系統(tǒng) 增加3個分析模塊 地址熵 三元組和熱點 核心功能模塊和定制開發(fā)模塊組件化或者模塊化 產(chǎn)品短期規(guī)劃 二 TSOC3 0 9 0SIMS和SMC的整合多級管理引入VWP平臺組件部分功能模塊化 主要集中在定制開發(fā)模塊多的功能 網(wǎng)絡拓撲 產(chǎn)品長期規(guī)劃 一 產(chǎn)品架構(gòu)重新設計 做到靈活可拆分 盡量做到系統(tǒng)可以與WEB服務器無關和數(shù)據(jù)庫系統(tǒng)無關 做一個產(chǎn)品基礎平臺 威脅管理綜合監(jiān)控基線管理流量管理關聯(lián)分析知識庫報表 產(chǎn)品長期規(guī)劃 二 在產(chǎn)品平臺基礎上開發(fā)風險管理平臺資產(chǎn)管理風險管理脆弱性管理在產(chǎn)品平臺基礎上開發(fā)審計平臺合規(guī)性報表在產(chǎn)品平臺的基礎上開發(fā)等級保護平臺風險域管理等級保護網(wǎng)絡拓撲 產(chǎn)品的規(guī)劃 產(chǎn)品路標規(guī)劃 Platform TSOC ASOC TSO