正文 

当前位置: 首页 > 程序 > java教程

态势感知(sip)

_GUOGUO _GUOGUO     2023-02-27     319

关键词:

SIP态势感知

一、SIP态势感知概述
1.业界标准
数据来源>智能分析>安全可视>协同响应
通过日志采集探针和流量传感器分别进行不同系统日志和流量日志的采集和处理任务
通过对海量数据进行多维度快速,自动化的关联分析发现本地的威胁和异常行为,并及时与终端管理系统和下一代防火墙进行联动
对威胁和异常行为进行处置。
组件:
分析平台:负责对数据的汇总、分析、呈现
流量传感器;负责旁路部署在网络中,对流量进行采集
日志采集探针:日志采集必要组件,归一化日志传给平台分析
关联引擎:补充组件,当日志很大的时候通过此独立的关联引擎去做历史规则回溯
沙箱:补充组件,文件杀毒+沙盒。
2.产品定位
SIP深信服态势感知产品名为安全感知平台:旁路部署
功能:精准检测 全局可视 协同响应
摄像头——STA
监控中心——SIP
告警——可视化
核心模块 UEBA行为画像
结合威胁情报
3.产品组件(1)
潜伏威胁探针 :
全流量采集
基础威胁检测
实时漏洞分析
元数据提取
安全感知平台:
大数据架构
计器学习算法
Flow行为分析引擎
用户行为建模
安全云脑:
威胁情报
云端智能分析
规则模型
产品组件(2)
STA(标配):用于收集镜像流量,识别出威胁以及审计数据,SIP安全事件生成,主要依赖STA的上传数据。
NGAF:AF的的安全日志和应用控制日志上传至SIP,并且可以通过SIP下发联动封锁和访问控制,对风险主机以及发起互联网攻击的IP进行封堵。
EDR: SIP可收集EDR的安全日志,通过SIP下发联动封锁。访问控制,一键查杀和进程取证对SIP上发现的安全事件进行闭环。
云脑: SIP与云脑互动,SIP将灰度威胁情报上传至云脑,云脑进行分析是否有威胁后将结果回传SIP。
MSSP: SIP对接MSSP,云端安全专家可以对SIP上的安全事件进行人工分析,将误报事件即时删除。
AC: 将AC接入SIP可上传用户认证信息,用于对动态ip环境的用户进行定位,并可下发策略对风险终端进行账号冻结和上网提醒。
SSL: 定位用SSL接入的风险用户,用户需要使用虚拟IP访问业务才能定位。
4.核心能力
全网资产梳理
脆弱性识别
高级威胁检测
异常行为发现
攻击溯源取证
自动化编排响应
整体安全态势感知
综合风险报告
5.三大体系
脆弱性:以业务资产为核心,寻找暴露面
外部攻击
内部异常

二、功能简介

1.监控中心
监控中心用于显示全网的安全事件总览
挖矿专项检测
2.大屏可视
linux系统启动流程
3.处置中心
用户查看当前网络中存在的风险主机(服务器。PC终端)以及网络上存在的安全事件。
高级威胁检测 异常行为检测
基于人工智能的SAVE引擎
具有泛化能力 不依赖于云端能力
节约带宽成本,不会产生更新带来的网络风暴
内存占用小
失陷确定性
威胁等级
4.分析中心
分析中心包括了外部,横向,外联三个方向的安全与访问关系
威胁分析 访问分析 日志检索 情报分析 SIEM分析系统 行为分析(EBA)
5.资产中心
资产识别是STA探针产品的重要功能,帮用户1梳理资产,识别风险资产。
6.报告中心
安全风险报告
安全告警
7.联动响应
接入深信服NGAF,EDR,AC产品,实现联动响应。快速封锁问题IP或攻击源,主机隔离,病毒查杀,避免势态升级。

三、上架部署

1.安全感知平台最常见的部署模式为单臂部署
内外网IP地址段不要冲突
直连设备eth0口访问https://10.251.251.252 默认账号密码为admin/admin
平台序列号检查,在项目中确保开启授权
在非eth0口时需要先启用网口
在对应网口上接入网线,并使网口灯亮起
*切勿将所有网口禁用,将无法登录控制台
2.接入部署
当需要限制登录IP地址,则配置需要登录SIP的地址的明细路由,默认路由配置为黑洞路由
检测效果受镜像流量影响,探针接收的镜像流量的优先顺序
接入交换机流量>汇聚交换机流量>核心交换机流量
登录 STA 直连设备管理口 访问https://10.251.251.251 (不能删除与修改)
STA 访问SIP的TCP443,TCP4430,TCP4488端口
STA访问SIP的TCP 4488 端口进行特征库的更新
高级模式 占用带宽多
AC不上传用户行为日志记录
AC与SIP联动 账号同步 还可以弹窗提醒,账号冻结
只有客户开启使用L3VPN资源才会分配ip
3.多分支级联及集群场景部署
只支持IP范围模式
下级只会上传资产信息和已经分析过的事件信息,不会上传日志
上级平台无需配置,只需要下级平台访问上级平台TCP7443
集群
配置子节点

  • 解散集群会丢失数据*

四、常用功能使用

1.安全事件查看
风险业务视角与风险终端视角:是通过一台主机的角度展示其存在的安全事件。
安全事件视角:是通过安全事件的角度展示哪些主机存在安全事件。
风险安全域视角:是将内网划分为多个区域,检查每个区域的安全情况,发现安全薄弱的区域。
自动响应策略:是SIP检查出安全事件时,可自动下发联动策略到接入AC/AF/EDR行问题闭环
处置记录:是统一存放已经处置的安全事件/主机。
存在漏洞:为事前阶段
是指检测到服务器的漏洞风险的情况
遭受攻击:为事中阶段
是指被横向或者外部的攻击
C&C及后续阶段为:事后阶段
主机已经被拿下,向内网或者外网发起攻击或异常连接行为
入口点溯源
2.威胁分析与访问分析功能
违规访问 可疑行为 风险访问
3.通报预警功能
标准化版本不支持手动将处置中心中的安全事件转到通报预警中心里待通信事件
归档 审核 重新下发
4.联动AC功能
SIP联动AC可以分为手动联动与自动联动,手动联动是在人工分析后进行联动,自动联动通过事先配置策略当检测到对应的安全事件时,SIP下发联动策略进行联动。
支持功能
AC在线用户信息:动态IP获取环境,通过同步AC的用户定位终端用户。
上网提醒
用户冻结
如果AC设备是路由模式部署,SIP设备在ACwan口方向,需要开放TCP9998端口。
网桥模式或旁路模式不需要此项配置
5.联动AF功能
支持手动或自动发下联动封锁策略。
访问控制与联动封锁的区别是,联动封锁直接将IP给阻断,包括所有的端口,而访问控制是基于五元组的ACL封锁。
6.联动EDR功能
支持功能
EDR日志同步
联动封锁
一键查杀
访问控制
进程取证:对主机访问的恶意域名进行取证,可定位到访问该域名的子进程,父进程的详细信息。

态势感知的支撑和价值落地

当前态势感知现状反思,现状一个很重要的追求是界面的华丽,国内很大的一批工程实践实际上是大规模的互联网探测扫描结果或者开源的威胁情报通过可视化的手段展示出来,这种倾向性将态势感知庸俗化。现状更多的态势感... 查看详情

企业态势感知系统构建开发实战

一工作原理二基于NIDS的***检测三安全告警通过基于NIDS的***检测以及WAF拦截数据四日志分析五数据大屏 查看详情

态势感知

 w环境。http://geek.csdn.net/news/detail/136883“我们认为只有用大数据的手段先解决看问题的全面性,才有可能真正解决安全问题,很多安全解决方案的失败,不是在于防护做得不好,而是在于根本没看见敌人,防护就无从谈起。... 查看详情

echarts+vue2.0实现大数据监测态势感知系统

#echarts+vue2.0实现大数据监测态势感知系统###具体效果图如下:在线链接:https://ts.wuthreat.com/#/login 查看详情

数据安全态势感知运营中心建设参考指南

声明本文是学习​​数据安全态势感知运营中心建设桔皮书.下载地址http://github5.com/view/471​​而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们前言进入21世纪以来,全球科技创新进入空前活跃时期,新... 查看详情

安全态势感知:一些哲学思考

650)this.width=650;"src="https://s2.51cto.com/wyfs02/M01/8C/D8/wKioL1h7VADx3irNAABCFnDquZQ768.jpg"title="哲学思考.jpg"alt="wKioL1h7VADx3irNAABCFnDquZQ768.jpg"/>生而为人,首要的和最终的任务都是认识自己——我是谁?从哪里来?要到哪里去?怎么去?这一系 查看详情

局域网态势感知与安全运营(转)

...的所有资产所构成的网络以及其与外界通信信道的集合。态势感知???????态势感知的概念这几年都很火,听了很多介绍,宣讲以及产品展示。就在思考一个问题什么是态势感知。态势感知援引美国海军的周边环境敌我识别+敌情系... 查看详情

云运维态势感知-可视化指挥调度

云运维态势感知-可视化指挥调度   随着IT建设的不断深入和完善,IT运维管理成为时下IT界最热门的话题之一。IT运维管理系统也在话题的热浪中日趋成熟,但金无足赤人无完人,我们在追求完美的同时,也发现了现今... 查看详情

态势感知系统,助力网络更安全

随着网络的普及,互联网上的各种应用得到了飞速发展,而诸多应用也对网络安全提出了更高的要求,网络入侵给全球经济造成的损失也在逐年迅速增长。2016年,网络安全形势愈加严峻,各种数据泄露、黑客入侵事件层出不穷... 查看详情

关于soc态势感知,5种常见的关联分析模型

...中都会涉及到关联分析,比如日志分析,soc,态势感知,风控等产品。关联分析可以认为是这类产品中最核心的能力之一。这个东西从名字上看就知道,千人千面,每个人的想法和理解都不一样。很多甲方... 查看详情

:网络安全态势感知的认知模型

...知模型,并进行总结,探索如何在构建网络安全态势感知系统时,将人类认知过程和认知模型转化为可自动化地实现的模型架构,便于不同分析师在一个较为统一的模型基础上,对网络安全态势进行更深入的... 查看详情

美国网络安全态势感知:威慑反制能力建设

美国网络威慑与溯源反制能力建设阶段跨越2011年~2018年,在这个阶段美国的国家战略逐渐从“积极防御”转变为“攻击威慑”。在这个阶段,美国政府不但发布了多个网络威慑相关战略政策,同时也开展了一系列的相关具体行... 查看详情

美国网络安全态势感知:威胁情报发展现状

美国政府依托其不断发展完善的威胁情报共享技术,构建了名为“网络天气地图”的威胁情报管理体系,如下图所示:“网络天气地图”的威胁情报管理体系运行过程以及每个过程中的关键信息如下所述:通过国家网络安全保护... 查看详情

openfea应用案例

...,在各行各业广泛得到应用。  案例一:网络安全态势感知  网络安全态势感知,是基于OpenFEA技术,通过对影响网络安全的资产、漏洞、攻击、异常流量等因素进行大数据分析,使用户宏观、全局的了解网络的安... 查看详情

openfea应用案例

...师的推祟,在各行各业广泛得到应用。案例一:网络安全态势感知网络安全态势感知,是基于OpenFEA技术,通过对影响网络安全的资产、漏洞、攻击、异常流量等因素进行大数据分析,使用户宏观、全局的了解网络的安全状况,... 查看详情

阿里云态势

https://helpcdn.aliyun.com/document_detail/68388.html 查看详情

我国网络安全态势

...互联网的依赖,网络安全问题也日益凸显,我国网络安全态势不容乐观。  根据中国国家互联网应急中心的态势报告,中国网络安全指数总体为“良趋中”。看似良好的网络环境却总是不断频繁地出现各种安全威胁:漏洞、病... 查看详情

hummerrisk使用教程:资源态势

...容器云安全检测。本文将介绍如何使用HummerRisk中的资源态势相关功能,HummerRisk中的资源态势在两个核心部分都有,所以我们也会分两部分来介绍相关的使用。2.混合云资源态势使用资源态势相关功能的前提是要完成绑定云账号... 查看详情