態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)產(chǎn)品白皮書2024目 錄第 5 頁(yè)1 產(chǎn)品概述 61.1 產(chǎn)品簡(jiǎn)介 61.2 產(chǎn)品定位 61.3 產(chǎn)品形態(tài)及構(gòu)架 62 產(chǎn)品功能 92.1 日志采集器 92.2 網(wǎng)絡(luò)流量傳感器 92.3 數(shù)據(jù)采集、存儲(chǔ)、檢索 102.4 資產(chǎn)中心 112.5 威脅檢測(cè) 132.6 分析中心 142.7 響應(yīng)中心 162.8 安全管理 172.9 安全概覽 182.10 儀表板與報(bào)表 182.11 態(tài)勢(shì)可視化 192.12 運(yùn)維工作臺(tái) 202.13 系統(tǒng)管理 202.14 運(yùn)營(yíng)服務(wù) 213 特點(diǎn)與優(yōu)勢(shì) 223.1 靈活的數(shù)據(jù)接入 223.2 高性能關(guān)聯(lián)分析 223.3 持續(xù)的威脅建模 233.4 多視角安全監(jiān)測(cè) 233.5 豐富的威脅情報(bào) 243.6 強(qiáng)大的大數(shù)據(jù)技術(shù) 243.7 先進(jìn)的機(jī)器學(xué)習(xí) 254 產(chǎn)品價(jià)值 254.1 持續(xù)監(jiān)控，實(shí)時(shí)掌握安全狀況 254.2 全面檢測(cè)，及時(shí)發(fā)現(xiàn)高級(jí)威脅 264.3 響應(yīng)處置，實(shí)現(xiàn)威脅閉環(huán)管理 264.4 事件調(diào)查，高效完成威脅研判 274.5 風(fēng)險(xiǎn)管理，提升安全預(yù)警能力 274.6 威脅預(yù)警，全面評(píng)估事態(tài)發(fā)展 284.7 彈性平臺(tái)，滿足業(yè)務(wù)擴(kuò)展需要 285 應(yīng)用場(chǎng)景 305.1 集中部署 305.2 分級(jí)部署 306 產(chǎn)品配置 311 產(chǎn)品概述1.1 產(chǎn)品簡(jiǎn)介奇安信態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)（Next Generation Security Operation Center，以下簡(jiǎn)稱 NGSOC）在 ISO27000 信息安全管理體系和國(guó)家等級(jí)保護(hù)基本要求的指導(dǎo)下設(shè)計(jì)完成，可以為安全管理者提供資產(chǎn)、威脅、脆弱性等管理能力，并具備對(duì)威脅的事前預(yù)警、事中發(fā)現(xiàn)和事后回溯的能力，對(duì)威脅進(jìn)行完整的生命周期管理。

NGSOC 繼承了奇安信集團(tuán)下屬網(wǎng)神子公司長(zhǎng)期以來在 SIEM 產(chǎn)品上的豐富經(jīng)驗(yàn)，同時(shí)融合目前先進(jìn)的大數(shù)據(jù)技術(shù)，既能滿足海量數(shù)據(jù)環(huán)境下的高效分析需求，又兼顧針對(duì) IT 數(shù)字化轉(zhuǎn)型的大量基礎(chǔ)管理功能奇安信集團(tuán)在產(chǎn)品設(shè)計(jì)中，有針對(duì)性的著重提升產(chǎn)品易用性、分析準(zhǔn)確率和計(jì)算性能，并提供完善的配套服務(wù)方案，以幫助用戶更好地使用 NGSOC 產(chǎn)品1.2 產(chǎn)品定位NGSOC 是奇安信基于大數(shù)據(jù)架構(gòu)推出的面向政企客戶安全運(yùn)營(yíng)中心的安全管理工具NGSOC 使用了大量新型安全技術(shù)，其中威脅情報(bào)能夠快速幫助用戶補(bǔ)足在安全攻防上的短板，既可以幫助發(fā)現(xiàn)潛在威脅，也可以提供更豐富的威脅分析手段和能力而諸如依賴于機(jī)器學(xué)習(xí)的 WEB 攻擊發(fā)現(xiàn)等一系列威脅檢測(cè)手段則能進(jìn)一步提高對(duì)網(wǎng)絡(luò)安全事件的檢出率和檢測(cè)準(zhǔn)確率在架構(gòu)革新和新技術(shù)的推動(dòng)下，NGSOC 產(chǎn)品正在引領(lǐng)國(guó)內(nèi)安全管理產(chǎn)品市場(chǎng)的變革，為國(guó)內(nèi) 1000+大型部委、央企、電子政務(wù)、公檢法、金融、交通、教育等行業(yè)提供落地實(shí)踐據(jù)權(quán)威咨詢機(jī)構(gòu)賽迪顧問的統(tǒng)計(jì)數(shù)據(jù)，奇安信 NGSOC 產(chǎn)品在中國(guó)安全管理平臺(tái)產(chǎn)品市場(chǎng)中市場(chǎng)占有率第一1.3 產(chǎn)品形態(tài)及構(gòu)架態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái) NGSOC 產(chǎn)品標(biāo)準(zhǔn)組件和可組合的獨(dú)立產(chǎn)品及服務(wù)如下圖所示：第 31 頁(yè)圖 1 NGSOC 產(chǎn)品組成NGSOC 產(chǎn)品標(biāo)準(zhǔn)組件包括 NGSOC-態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)、NGSOC-網(wǎng)絡(luò)流量傳感器和 NGSOC-日志采集器三部分。

NGSOC 產(chǎn)品標(biāo)準(zhǔn)組件可為客戶提供性價(jià)比極高的核心解決方案，其中， NGSOC-網(wǎng)絡(luò)流量傳感器除了對(duì)威脅提供高檢出率和檢測(cè)準(zhǔn)確率能力之外，還可從 流量中被動(dòng)發(fā)現(xiàn)資產(chǎn)及其脆弱性數(shù)據(jù)NGSOC-態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)基于威脅、脆弱性及資產(chǎn)價(jià)值，為客戶網(wǎng)絡(luò)提供完整的安全風(fēng)險(xiǎn)評(píng)估此外，NGSOC-態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)可搭配奇安信集團(tuán)旗下的一系列安全產(chǎn)品進(jìn)行組合，為大中型企業(yè)客戶提供完善、整體或者應(yīng)對(duì)專項(xiàng)問題的解決方案，支持組合的產(chǎn)品包括奇安信網(wǎng)神漏洞掃描系統(tǒng)、奇安信網(wǎng)神資產(chǎn)管理系統(tǒng)、奇安信網(wǎng)神服務(wù)器管理系統(tǒng)、奇安信上網(wǎng)行為管理系統(tǒng)、奇安信新一代智慧防火墻和奇安信天擎終端管理系統(tǒng)企業(yè)安全管理者期望快速補(bǔ)充安全能力，提高安全運(yùn)營(yíng)的管理、技術(shù)和流程水平，也可基于 NGSOC 態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)補(bǔ)充威脅情報(bào)和安全運(yùn)營(yíng)服務(wù)NGSOC 標(biāo)準(zhǔn)組件的功能概述如下：1) NGSOC 網(wǎng)絡(luò)流量傳感器NGSOC 網(wǎng)絡(luò)流量傳感器用于對(duì)現(xiàn)網(wǎng)流量進(jìn)行流量還原及流量檢測(cè)，并基于流量被動(dòng)發(fā)現(xiàn)資產(chǎn)信息，將生成的網(wǎng)絡(luò)日志、威脅日志和資產(chǎn)數(shù)據(jù)上送至 NGSOC 平臺(tái)傳感器具備數(shù)據(jù)采集和數(shù)據(jù)外發(fā)能力，能夠?qū)?shù)據(jù)的采集策略、外發(fā)策略進(jìn)行靈活配置。

并能夠針對(duì)網(wǎng)絡(luò)流量進(jìn)行安全檢測(cè)、反病毒、漏洞防護(hù)、防間諜軟件、IOC 情報(bào)檢測(cè)等威脅分析，并將分析后的威脅日志上傳至 NGSOC 平臺(tái)2) NGSOC 日志采集器NGSOC 日志采集器是對(duì)網(wǎng)絡(luò)內(nèi)各業(yè)務(wù)應(yīng)用系統(tǒng)、安全設(shè)備、服務(wù)器、終端等設(shè)備，通過主動(dòng)采集或被動(dòng)接收等方式對(duì)系統(tǒng)、應(yīng)用或安全日志進(jìn)行采集并進(jìn)行范式化預(yù)處理，方便 IT 人員或安全分析人員對(duì)日志數(shù)據(jù)流進(jìn)行實(shí)時(shí)關(guān)聯(lián)分析和數(shù)據(jù)分析3) NGSOC 態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)NGSOC 平臺(tái)基于大數(shù)據(jù)架構(gòu)，能夠支撐大并發(fā)量計(jì)算和查詢NGSOC 平臺(tái)用于存儲(chǔ) NGSOC 網(wǎng)絡(luò)流量傳感器和 NGSOC 日志采集器提交的流量日志、威脅日志、設(shè)備日志和系統(tǒng)日志，并提供應(yīng)用交互界面NGSOC 平臺(tái)基礎(chǔ)應(yīng)用層的數(shù)據(jù)檢索模塊采用了分布式計(jì)算和搜索引擎技術(shù)對(duì)所有數(shù)據(jù)進(jìn)行處理，可通過多臺(tái)設(shè)備建立集群以保證存儲(chǔ)空間和計(jì)算能力的供應(yīng)NGSOC 平臺(tái)在強(qiáng)有力的基礎(chǔ)大數(shù)據(jù)架構(gòu)的支撐和關(guān)聯(lián)分析引擎強(qiáng)勁檢測(cè)能力的輔助下，建立了一套完善的威脅檢測(cè)、響應(yīng)和處置流程的支撐體系，可通過 NGSOC 平臺(tái)對(duì)資產(chǎn)、脆弱性、拓?fù)涞然A(chǔ) IT 管理屬性和威脅告警、風(fēng)險(xiǎn)等安全屬性進(jìn)行全生命周期管理。

功能涵蓋從威脅發(fā)現(xiàn)、展示、歸納到處置響應(yīng)聯(lián)動(dòng)的閉環(huán)能力2 產(chǎn)品功能2.1 日志采集器NGSOC 日志采集器支持對(duì)國(guó)內(nèi)外數(shù)十家廠商的上百種常見設(shè)備的日志進(jìn)行自動(dòng)解析、過濾、富化、內(nèi)容轉(zhuǎn)譯、范式化；支持 Syslog、DB、SNMP、Netflow、 API 接口、鏡像流量、文件等多種采集方式日志采集器會(huì)采集以下信息：l 網(wǎng)絡(luò)日志：流量會(huì)話、應(yīng)用行為、文件傳輸、賬號(hào)登錄等l 安全日志：網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫(kù)、安全設(shè)備、中間件、虛擬化、應(yīng)用系統(tǒng)、網(wǎng)關(guān)系統(tǒng)等l 終端日志：文件行為、進(jìn)程行為、郵件行為、注冊(cè)表等l 系統(tǒng)日志：系統(tǒng)登錄、系統(tǒng)操作、業(yè)務(wù)查詢、應(yīng)用信息等日志采集器可與平臺(tái)統(tǒng)一部署在一臺(tái)服務(wù)器內(nèi)，也可視規(guī)模單獨(dú)部署，采集內(nèi)容包含但不限于操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的狀態(tài)信息和異常告警信息2.2 網(wǎng)絡(luò)流量傳感器NGSOC 網(wǎng)絡(luò)流量傳感器支持?jǐn)?shù)十種網(wǎng)絡(luò)協(xié)議的識(shí)別、解析和檢測(cè)檢測(cè)手段豐富多樣，可從多個(gè)維度綜合識(shí)別評(píng)估網(wǎng)絡(luò)威脅為安全分析人員提供基礎(chǔ)的告警信息和能力支撐l 支持網(wǎng)絡(luò)數(shù)據(jù)和 7 層應(yīng)用協(xié)議識(shí)別和還原：MPLS、PPPOE、QinQ、TCP 流量日志、UDP 流量日志、LDAP 行為日志、SSL 協(xié)商日志、SSL 解密、域名解析日志、登錄行為日志、郵件行為日志、FTP 訪問日志、文件傳輸日志、Web訪問日志、Telnet 行為日志、數(shù)據(jù)庫(kù)操作日志、智能應(yīng)用、PCAP 文件回放檢測(cè)等。

l 支持識(shí)別網(wǎng)絡(luò)威脅數(shù)據(jù)：失陷檢測(cè)、入侵檢測(cè)、病毒檢測(cè)、異常流量、DDoS 攻擊、應(yīng)用識(shí)別等l 支持通過流量被動(dòng)發(fā)現(xiàn)資產(chǎn)，及資產(chǎn)脆弱性信息流量采集器可旁路部署于網(wǎng)絡(luò)核心位置，接收鏡像流量并進(jìn)行流量解析還原，并詳細(xì)記錄流量日志同時(shí)，流量采集器查詢本地威脅情報(bào)和威脅特征庫(kù)，與流 量解析結(jié)果進(jìn)行比對(duì)，生成網(wǎng)絡(luò)威脅告警日志流量采集器將流量日志和告警日志實(shí)時(shí)傳輸至 NGSOC 平臺(tái)2.3 數(shù)據(jù)采集、存儲(chǔ)、檢索數(shù)據(jù)采集功能，對(duì)接入的采集設(shè)備、數(shù)據(jù)的解析規(guī)則和策略提供統(tǒng)一的管理，并對(duì)數(shù)據(jù)源采集狀態(tài)、采集速率和趨勢(shì)、NGSOC 平臺(tái)安全狀態(tài)、集群節(jié)點(diǎn)數(shù)和健康狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控日志檢索功能為調(diào)查取證提供有力支撐，日志信息的全量存儲(chǔ)，能夠有效的幫助安全分析師進(jìn)行追根溯源，繪制完整的事件畫像，NGSOC 平臺(tái)采用高性能的分布式集群數(shù)據(jù)存儲(chǔ)系統(tǒng)，核心數(shù)據(jù)存儲(chǔ)采用分布式全文檢索方式，能自適應(yīng)任何格式的數(shù)據(jù)來源該系統(tǒng)是一個(gè)實(shí)時(shí)的分布式搜索和分析引擎，它可以幫助企業(yè)以前所未有的速度處理海量數(shù)據(jù)，它可以用于全文搜索、結(jié)構(gòu)化搜索以及分析該系統(tǒng)具有如下特點(diǎn)：l 豐富的搜索模式：NGSOC 提供了面對(duì)不同角色用戶的搜索方式，具有面向普通用戶的交互式快捷搜索模式，通過選擇、拖拽即可完成日志數(shù)據(jù)的檢索。

同時(shí)也提供面向安全分析人員的高級(jí)搜索方式，提供類 SQL 語(yǔ)句的數(shù)據(jù)分析和數(shù)據(jù)挖掘功能，能夠有效的幫助安全分析師進(jìn)行威脅溯源，還原安全事件全過程l 任務(wù)化搜索功能：系統(tǒng)會(huì)將部分日志存儲(chǔ)與 HIVE 中，來保證數(shù)據(jù)的長(zhǎng)周期存儲(chǔ)因?yàn)?HIVE 特性，導(dǎo)致其無(wú)法實(shí)時(shí)快速返回?cái)?shù)據(jù)，所以在用戶想要檢索此類數(shù)據(jù)時(shí)，可以通過冷數(shù)據(jù)搜索模式，根據(jù)搜索的日志類型和時(shí)間范圍，系統(tǒng)將自動(dòng)通過后臺(tái)任務(wù)查詢?nèi)罩緮?shù)據(jù)并且系統(tǒng)提供多任務(wù)并行處理能力，以避免用戶長(zhǎng)時(shí)間等待l 海量數(shù)據(jù)處理能力：系統(tǒng)具有分布式搜索引擎，能夠?qū)崿F(xiàn)按需擴(kuò)展，系統(tǒng)支持跨服務(wù)器、跨數(shù)據(jù)源、分布式的信息索引技術(shù)，能夠處理 PB 級(jí)別以上的結(jié)構(gòu)化或非結(jié)構(gòu)化數(shù)據(jù)，達(dá)到百億條數(shù)據(jù)秒級(jí)檢索l 檢索可視化：針對(duì)檢索出的數(shù)據(jù)，日志可實(shí)現(xiàn)可視化圖表的統(tǒng)計(jì)展示，并支持導(dǎo)出進(jìn)一步利用，為研判分析提供原始數(shù)據(jù)支撐2.4 資產(chǎn)中心資產(chǎn)風(fēng)險(xiǎn)評(píng)估模塊對(duì)資產(chǎn)和資產(chǎn)組進(jìn)行風(fēng)險(xiǎn)數(shù)值的量化，給出具體的評(píng)分指標(biāo)，能夠有效的反映出當(dāng)前網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)狀態(tài)，安全管理人員能夠宏觀了解全網(wǎng)安全態(tài)勢(shì)，給管理者提供有力的輔助決策支撐平臺(tái)參照 GB/T 20984-2007 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范，結(jié)合多年的安全運(yùn)營(yíng)經(jīng)驗(yàn)，設(shè)計(jì)出實(shí)用的風(fēng)險(xiǎn)計(jì)算模型，幫助用戶量化安全風(fēng)險(xiǎn)。

l 量化資產(chǎn)風(fēng)險(xiǎn)：系統(tǒng)參考風(fēng)險(xiǎn)評(píng)估規(guī)范及相關(guān)指導(dǎo)文件，設(shè)計(jì)完整的風(fēng)險(xiǎn)評(píng)估算法，將資產(chǎn)價(jià)值、威脅、脆弱性三大屬性進(jìn)行融合加權(quán)計(jì)算，形成百分制的量化指標(biāo)，給安全分析人員提供參考評(píng)估模型自定義：系統(tǒng)支持自定義風(fēng)險(xiǎn)評(píng)估模型，即滿足等保對(duì)安全管理中心的風(fēng)險(xiǎn)計(jì)算要求，也可適應(yīng)不同用戶對(duì)風(fēng)險(xiǎn)評(píng)估的特殊要求l 量化異常行為：系統(tǒng)將資產(chǎn)關(guān)聯(lián)的異常行為進(jìn)行匯總，計(jì)算異常行為得分，幫助分析人員了解資產(chǎn)的異常信息，更全面的掌握資產(chǎn)風(fēng)險(xiǎn)情況l 風(fēng)險(xiǎn)計(jì)算配置：支持對(duì)資產(chǎn)項(xiàng)進(jìn)行自定義配置，包含威脅告警和脆弱性是否參與計(jì)算，風(fēng)險(xiǎn)值級(jí)別調(diào)整等內(nèi)容，滿足不同用戶對(duì)風(fēng)險(xiǎn)值的自定義需求資產(chǎn)風(fēng)險(xiǎn)值會(huì)在系統(tǒng)的資產(chǎn)風(fēng)險(xiǎn)模塊、儀表板、態(tài)勢(shì)大屏等多個(gè)模塊展示不同數(shù)據(jù)域、不同分組的風(fēng)險(xiǎn)數(shù)值，為運(yùn)營(yíng)人員提供當(dāng)前安全風(fēng)險(xiǎn)的判斷依據(jù)資產(chǎn)的脆弱性會(huì)嚴(yán)重影響網(wǎng)絡(luò)的安全性，甚至成為網(wǎng)絡(luò)安全中的短板因此，提前獲悉資產(chǎn)和業(yè)務(wù)中存在的脆弱性信息，并采取補(bǔ)救措施或者做好應(yīng)急預(yù)案，成為網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ)，也是核心的能力之一NGSOC 的脆弱性管理模塊，實(shí)現(xiàn)對(duì)重要資產(chǎn)的漏洞、web 漏洞、弱口令、配置弱點(diǎn)的收集和管理，并將漏洞、 web 漏洞、弱口令和配置弱點(diǎn)的結(jié)果自動(dòng)同步到風(fēng)險(xiǎn)模塊中，參與風(fēng)險(xiǎn)計(jì)算。

l 聯(lián)動(dòng)第三方掃描器：NGSOC 支持對(duì)漏掃設(shè)備進(jìn)行集中管理，支持下發(fā)漏洞掃描任務(wù)和弱口令掃描任務(wù)，收集掃描結(jié)果，并支持同步第三方配置核查系統(tǒng)的配置核查掃描任務(wù)，建立完整、持續(xù)的脆弱性發(fā)現(xiàn)和管理手段l 導(dǎo)入第三方脆弱。