SOC安全運營中心產品

0x00 背景

     SOC( Security Operations Center) 安全運營中心，單獨依賴於某些安全產品，在效果上總感覺有一個孤島效應，從安全工程的角度來說，將安全工程化、系統化、流程化是一個更好的趨勢，把安全過程中的有關各方如各層次的安全產品、分支機構、運營網絡、客戶等納入一個緊密的統一安全管理平臺中，嘗試先構建一個完整的底層基礎平臺，再有的放矢地去完善管理、制度、策略、方針、基線的上層建築。SOC就是這樣一個有力的輔助工具，下文爲在我有限的時間見過或者瞭解到的一些SOC平臺及其介紹。

0x01 SOC產品

IBM QRadar Security Intelligence Platform（安全情報平臺）

• IBM QRadar簡介- QRadar 專爲大型企業設計，多功能集成。
• Resilient 簡介 - 整合安全分析、取證、漏洞管理及事件響應，從而企業防護、檢測和響應威脅進行協調。
• IBM QRadar Security Intelligence Platform（安全情報平臺）是圍繞 IBM QRadar SIEM 構建。IBM QRadar Vulnerability Manager（漏洞管理器）使用虛擬機數據上下文化事件數據。IBM QRadar Network Insights（網絡流量分析）提供基於 QFlow 的應用程序可見性\IBM QRadar User Behavior Analytics（用戶行爲分析）是處理某些內部人威脅用例的免費用戶行爲分析 (UBA) 模塊。IBM QRadar Incident Forensics（事件取證）提供取證調查支持。IBM QRadar Advisor with Watson（認知安全分析）爲已識別威脅提供自動化根源研究。QRadar可以一體化部署，也可以選擇分佈式部署。

Splunk + Phantom / Resilient

• splunk 安全平臺簡介- Splunk 收購Phantom,加速安全事件響應。
• Phantom 簡介- 安全運營自動化和編配,打造企業級SOAPA。
• Splunk和Phantom如果與服務提供商合作，幫助企業打造和設計SOC，幫助企業打造和設計SOC，搞定常規事件響應計劃(IR)，用好未來幾年裏GDPR的部署、改進與市場對GDPR的恐慌情緒，這可能是數億美元級別的商業機會。
• Splunk vs. QRadar：競品分析

奇安信NGSOC

• 奇安信NGSOC 簡介- 新一代態勢感知與安全運營平臺。
• NGSOC是奇安信集團基於大數據架構自主構建的一套面向大型政企客戶的新一代態勢感知與安全運營平臺。該平臺在ISO27000協議族和國家等級保護基本要求的指導下設計完成，可以爲管理者發現內外網威脅、管理IT資產、監測全網漏洞及風險、聯動阻斷攻擊事件，以及對威脅的事前預警、事中發現、事後回溯功能，貫穿威脅的整個生命週期管理。

啓明星辰泰合信息安全運營中心繫統—TSOC

• TSOC簡介- 一站式安全運營中心解決方案。
• 泰合安全管理平臺（信息安全運營中心繫統-TSOC）是一個以IT資產爲基礎，以業務信息系統爲核心，以客戶體驗爲指引，從監控、審計、風險和運維四個維度建立起來的一套可度量的統一業務支撐平臺，使得各種用戶能夠對業務信息系統進行可用性與性能的監控、配置與事件的分析審計預警、風險與態勢的度量與評估、安全運維流程的標準化、例行化和常態化，實現業務信息系統的持續安全運營。

綠盟企業安全平臺(NSFOCUS-ESP)

• NSFOCUS-ESP簡介- 大數據+威脅情報，通過運維手段實現全生命週期的安全閉環處理流程。
• 綠盟企業安全平臺以大數據框架爲基礎，結合威脅情報系統，通過攻防場景模型的大數據分析及可視化展示等手段，協助企業建立和完善安全態勢全面監控、安全威脅實時預警、安全事故緊急響應的能力。通過獨有的自適應的體系架構，高效地結合情境上下文分析，協助安全專家快速發現和分析安全問題，並能通過運維手段實現全生命週期的安全閉環處理流程。

華青融天 EZAccur - 安全運營

• 簡介 - 作爲安全防護體系的大腦和指揮部
• EZAccur安全運營產品，能夠通過實時收集企業IT資源中各種與信息安全相關的日誌信息和網絡流量，結合資產信息和威脅情報，利用大數據技術進行集中存儲和快速分析。除提供基於規則的安全事件關聯分析之外，通過機器學習識別用戶異常行爲，提升安全風險評估的準確性和時效性，量化安全運行指標，對企業所面臨的內外部攻擊及違規行爲主動發現和實時告警，爲業務系統提供犀甲般的全方位守護。

亞信安全運營與態勢感知平臺(企業版)【MAXS】

• 簡介 - 實現最大化安全價值統一管理與分析，自動響應第一時間降低危害。
• 亞信安全運營與態勢感知平臺（企業版）【MAXS】提供安全頂層聚合能力，實現最大化安全價值統一管理與分析。基於安全大數據中心，高效構建立體化、智能化、主動化、動態化的安全運營與態勢感知體系，嚴格落實網絡安全法與等級保護制度，實現安全空間外部與內部威脅、行爲的實時監測，智能分析威脅事件及時完善通報處置，聯合威脅情報狩獵追蹤，自動響應第一時間降低危害。

深信服安全感知平臺SIP

• 簡介 - 檢測、預警、響應處置的大數據安全分析平臺
• 以安全運營中心爲定位，以全局可視化展示，內部威脅檢測爲特長。其以全流量分析爲核心，結合威脅情報、行爲分析建模、UEBA、失陷主機檢測、圖關聯分析、機器學習、大數據關聯分析、可視化等技術，對全網流量實現全網業務可視化、威脅可視化、攻擊與可疑流量可視化等，幫助客戶在高級威脅入侵之後，損失發生之前及時發現威脅。

瀚思的全場景安全平臺

• 簡介 - 強調SIEM+威脅獵捕的威脅管理平臺
• 瀚思的全場景安全平臺由HanSight Enterprise（SIEM平臺）、UBA（用戶行爲分析模塊）、NTA（網絡流量分析模塊）、TIP（威脅情報管理平臺）組成。瀚思將網絡安全、內部安全、業務安全的威脅檢測以及響應納入一個統一的平臺，並加入動態威脅追蹤、自動威脅分析、新型威脅獵捕等高級威脅檢測以及事件相應功能。用一個統一的威脅管理平臺賦能企業，改變其應對各類威脅挑戰，解決現階段支離破碎的信息安全管理問題。

新華三安全威脅發現與運營管理平臺增強版

• 簡介 - 實現“安全大腦”的閉環決策
• 新華三安全威脅發現與運營管理平臺貫穿安全風險監控、分析、響應和預測的全過程，以威脅、風險、資產、業務、用戶等爲對象，基於安全日誌、網絡流量、用戶行爲、終端日誌、業務數據、資產狀態等多源數據，結合外部情報，通對全局狀態評價、外部攻擊評級、系統合規自檢等手段，實現“事態可評估”；通過對攻擊趨勢分析、異常流量判斷和終端行爲檢測，實現“趨勢可預測”；通過對未知威脅的智能檢測識別、流量/行爲/資產的狀態監控和多維度風險分析，實現“風險可感知”；通過對攻擊溯源取證、雲網端協同聯動、工單流程閉環處理和設備策略自適應調整，實現“知行可管控”。

安恆 網絡安全態勢感知通報預警平臺

• 簡介 - 網絡安全管理閉環，面向主管單位及大型企事業單位
• 平臺主要面向政府、網信、公安、行業主管單位及大型企事業單位。平臺按照監管部門的指導要求，設計了等級保護管理、實時監測、態勢感知、通報預警、應急指揮、情報管理、追蹤溯源等功能，是具有綜合安全事件分析與全局安全感知能力的安全管理平臺。平臺利用多種威脅監測技術、大數據關聯分析及機器學習技術，配合威脅情報數據服務，對其重要關鍵信息基礎設施進行全面的畫像、風險檢測、攻擊溯源，深度描述在網絡安全層面上的人、物、地、事以及關聯關係五大要素。實現了對安全事件的事前預警、事中發現、事後回溯等功能。幫助用戶從全局上把握整體網絡安全總態勢、建設網絡安全管理閉環。

銳捷RG-BDS大數據安全平臺

• 簡介 - 利用工單系統和知識庫相結合，實現責任到人且快速處理問題
• RG-BDS是協助用戶實現安全策略管理、安全組織管理、安全運作管理和安全技術框架的中心樞紐，產品架構採用包括數據存儲、管理控制、處理分析、採集控制四大組件的綜合日誌分析平臺，產品可採用集中和分佈式部署兩種方式，採集器將百萬級別的異構日誌信息統一收集上來，結合日誌模型庫執行標準化編譯，經過處理分析組件過濾掉無效的數據和日誌，最終篩選出真正有效的信息安全告警，幫助用戶快速定位網絡安全問題，利用工單系統和銳捷安全知識庫相結合，實現責任到人且快速處理問題，讓網絡安全事件完整閉環，幫助客戶在網絡安全方面極簡運營。

騰訊雲T-Sec 安全運營中心（私有云、公有云）

• 簡介 - 聚合騰訊雲各類安全服務，大屏呈現，可私有化本地部署。
• 結合騰訊二十年安全運營經驗，遵從安全自適應以及業界領先的新一代安全運營架構構建。無縫集成流量採集、日誌採集、安全事件綜合分析、威脅情報、漏洞管理、資產管理以及騰訊響應阻斷系統，從而構成安全運營整體方案。同時聚合騰訊雲各類安全服務，採用可視化的大屏模式呈現給客戶，實現業務、風險的可視化。

阿里云云安全中心（公有云）

• 簡介 - 阿里云云上安全監控和診斷服務，提供安全事件檢測、漏洞掃描、基線配置覈查等服務。
• 雲安全中心是一個實時識別、分析、預警安全威脅的統一安全管理系統，通過防勒索、防病毒、防篡改、合規檢查等安全能力，控制檯在阿里雲，可以在本地IDC、騰訊雲、青雲、亞馬遜、UCLOUD等環境安裝雲盾agent。

0x02 開源軟件搭建SOC

+如何建設一個安全運營中心（SOC） - IT應用成熟度較高的大型企業開始進行這方面工作的試點和探索

+開源SOC的設計與實踐 - 開源日誌系統+威脅情報

+思科OpenSOC - 項目已遷移到Apache Metron，改行了，專注於數據分析

0x03 企業自研開發SOC

• 國內互聯網大型企業：阿里云云、騰訊雲、京東、百度等
• 國內傳統大型企業：華爲、平安科技、順豐等

0x04 參考

SIEM產品

SOC產品

歡迎各位留言補充^^_^^ !