背景
對現有的soc安全管理中心的一個小結。很多東西涉及公司信息,所以打碼或者沒截數據,見諒。
開發人數:1(0.5個我和0.5個另外的一個負責前端的同事)
ps:其實現有的安全平臺都大同小異。比較出彩的我記得有兩個點一個是通過分佈式增強資產發現的效率。
另外一個是結合pocsuite,實現10分鐘漏洞自檢。
ps:做甲方又不是大廠的安全苦逼。一個人要做多件事。這個安全平臺還有很多可以完善的事。慢慢來吧
系統總覽
本系統是一款適用於企業內網的漏洞快速應急、自動掃描,安全告警,漏洞管理,且通過搜索功能可
清晰的瞭解內部網絡資產分佈情況,並且可指定漏洞插件對搜索結果進行快速漏洞檢測並輸出結果報表。
其主體分爲四部分:內網資產的收集與整理,tenable掃描的集成,安全巡檢,安全告警,漏洞管理
內網資產的收集與整理
通過配置文件設置掃描範圍,借用masscan以及nmap完成內網資產的自動化發現以及收錄。
tenable掃描的集成
因爲購買的tenable有數量限制,所以在原有的基礎上進行了二次開發,突破數量限制,同事將掃描的接口開放給it,運維使用,確保任何新機器上線時都不存在高危以上的安全漏洞。
安全巡檢
將一些常見的掃描任務用插件的形式表現,可以針對某個或某批資產進行自動化定期巡檢。
安全告警
通過在重要的服務器上安裝ossec,進行安全的實時監控。當告警級別到達預設閥值將會自動以郵件形式
告警。
對於誤報或者沒有危害的告警可以點擊右上方的手動忽略
漏洞管理
實現整個漏洞生命週期的閉環處理。
每分報告記錄了從漏洞發現到最終修復的整個過程。
