360态势感知与安全运营平台产品白皮书模板.docx

360态势感知与安全运营平台产品白皮书模板.docx

《360态势感知与安全运营平台产品白皮书模板.docx》由会员分享，可在线阅读，更多相关《360态势感知与安全运营平台产品白皮书模板.docx（17页珍藏版）》请在冰豆网上搜索。

360态势感知与安全运营平台产品白皮书模板

360态势感知与安全运营平台

产品白皮书

█文档编号

█密级

█版本编号

█日期

1产品概述........................................................................2

2平台介绍........................................................................2

2.1产品组成................................................................2

2.2产品架构................................................................4

3技术特点........................................................................6

3.1全面的数据采集与分析....................................................6

3.2大数据基础架构..........................................................7

3.3高性能关联分析..........................................................7

3.4丰富的威胁情报..........................................................9

3.5精准的多维度威胁检测....................................................9

4产品功能.......................................................................10

4.1威胁管理...............................................................10

4.2资产管理...............................................................11

4.3拓扑管理（收费模块）...................................................11

4.4漏洞管理（收费模块）...................................................12

4.5日志搜索...............................................................12

4.6调查分析（收费模块）...................................................13

4.7报表管理...............................................................14

4.8仪表展示...............................................................14

4.9态势感知（收费模块）...................................................15

5服务支持.......................................................................16

5.1安全规则运营服务.......................................................16

5.2全流量威胁分析服务.....................................................16

6应用价值.......................................................................17

6.1安全监控的范围更大.....................................................17

6.2威胁发现及时性提升.....................................................17

6.3安全管理效率提升.......................................................17

6.4降低宏观安全理解成本...................................................18

1产品概述

360态势感知与安全运营平台（以下简称NGSOC，NextGenerationSecurityOperationCenter）是360企业安全集团基于大数据架构自主构建的一套面向政企客户

的新一代安全管理系统。

该系统利用大数据等创新技术手段，结合360的安全能力和传统安全技术积累针对各种网络安全数据进行分析处理，可以为政企客户的安全管理者提供资产、威胁、脆弱性的相关管理，并能提供对威胁的事前预警、事中发现、事后回溯功能，贯穿威胁的整个生命周期管理。

NGSOC产品继承了360企业安全集团下属网神子公司长期以来在SOC产品上的历史经验，同时将来自互联网公司的大数据技术注入到了产品的开发过程中，可以既满足海量日志下的快速计算分析需要，又能够兼顾大量基础管理功能，同时也汲取了国内SOC经常无人使用的失败经验，有针对性的在产品设计中考虑了更多有关提升使用效率、分析效率的相关实现，并对产品的后续服务提供了一整套相关方案以帮助用户更好的使用NGSOC产品。

NGSOC产品在架构演进以外，也使用了大量新型安全技术，其中威胁情报能够快速的帮助单一企业补足在安全知识上的短板，既可以帮助企业发现威胁，也可以提供更广泛的威胁分析手段和能力。

而其他诸如依赖于机器学习的web攻击发现功能等一系列威胁检测手段则能有效增强针对传统安全问题的检测率和准确度。

在架构革新和新技术的推动下，NGSOC产品正在引领国内安全管理产品市场的变革，同时也获得着国内客户的认可。

据权威资讯机构赛迪顾问的统计数据，360企业安全的NGSOC产品在2016年中国安全管理平台产品市场中市场占有率第一。

2平台介绍

2.1产品组成

NGSOC产品主要包括流量传感器、日志采集探针、关联规则引擎和分析平台4个硬件组件，同时能够对接360天眼新一代威胁感知系统中的文件威胁鉴定器和360天擎系统的EDR组件，如下图所示：

图1：

NGSOC产品组成

1）流量传感器

流量传感器的功能主要是采集网络中的流量数据，将原始的网络全流量转化为按session方式记录的格式化流量日志，全流量日志会加密传输给分析平台存储用于后期的审计和分析。

同时对网络流量中传输的文件进行还原，还原后的文件会传输给文件威胁鉴定器用于判定文件是否有威胁。

流量传感器内置了一级流量检测引擎，主要有三类检测规则：

WEB漏洞利用检测引擎、webshell活动检测引擎、以及网络入侵检测引擎等，可实时的发现流量中存在攻击特征的行为。

流量传感器通常部署在网络出口交换机旁，或者其他需要监听流量的网络节点旁，接收镜像流量。

2）日志采集探针日志采集探针的主要功能是对网络内各业务应用系统、设备、服务器、终端等设备

通过主动采集或被动接收等方式对日志进行采集并进行归一化预处理，方便数据流后面的关联规则和数据分析能够快速使用。

同时日志采集探针还负责对内网资产进行扫描识别，收集资产数据。

3）关联规则引擎关联规则引擎主要负责对来自日志采集探针的大量日志信息进行实时流解析，并匹

配关联规则，对异常行为产生关联告警。

通常关联规则引擎与分析平台和日志采集探针部署在同一位置。

4）分析平台

分析平台用于存储流量传感器和日志采集探针提交的流量日志、设备日志和系统日志，并同时提供应用交互界面。

分析平台底层的数据检索模块采用了分布式计算和搜索引擎技术对所有数据进行处理，可通过多台设备建立集群以保证存储空间和计算能力的供应。

5）文件威胁鉴定器（360天眼新一代威胁感知系统相关组件）文件威胁鉴定器接收流量中传输的文件，并通过静态和动态检测方法对文件特征和

文件行为进行检测，及时发现有恶意行为的文件并产生告警。

文件分析结果也会作为安全数据的一部分传给分析平台存储，以便威胁分析过程中进行调用。

6）360天擎终端安全管理系统

NGSOC可以实现和360天擎终端安全管理系统的数据对接，由终端安全管理系统实时的将发生在终端上的各种主机行为日志发送至分析平台进行存储，为网络高级威胁发现及事件追踪溯源提供有力支撑。

相关日志覆盖包含了终端进程网络行为日志、终端DNS请求行为、注册表更改、文件操作、文件传输（包含IM、U盘、邮箱等多种方式）等多个方面。

NGSOC也可提供EDR自动响应功能，将相关告警推送到天擎终端管理系统执行在主机上的调查分析和阻断操作，完成威胁检测与响应闭环。

2.2产品架构

NGSOC将覆盖安全管理与运营的各个环节，下图为整个平台的缩略架构图。

图2NGSOC功能架构图

由图可见,NGSOC将建设成一个以多种安全问题管理为目标、以数据为核心、威胁情报为特色、打通安全运营中的检测、响应、预警、防御多个领域环节的完整安全体系。

NGSOC数据采集部分，除了传统的Syslog、Flow、各种系统日志和安全设备日志以外还突破性的针对原始流量日志（依赖于流量传感器）和终端日志（依赖于天擎EDR组件）进行采集。

依赖于更加原始的日志信息，NGSOC产品可以发现隐藏更深的各种威胁，同时能够提供完整的事件回溯分析能力。

拥有更加全面的日志虽然提供了更强的分析能力，但也对产品架构提出了严苛的挑战。

为此NGSOC产品在数据的存储和分析中大量使用大数据相关技术，在标准化产品组件中可以依赖于分布式全文检索技术提供接近PB级日志量的存储和快速计算，同时能够提供良好的可靠性保证，以解决意外断电、磁盘故障可能对系统带来的可靠性问题。

存储和分析能力之上，NGSOC产品使用多种分析引擎针对不同的使用和管理目标提供相应支撑，关联分析、统计分析、快速搜索等功能相较于传统产品具有明显的性能优势。

产品最外层，针对安全分析与运营人员，NGSOC产品可以提供友好、高效的交互管理页面，既满足了使用需求，又能够提升工作效率。

再结合威胁情报、安全服务等来自于360特有的安全知识输入，NGSOC可以极大的提升本地安全运营的相关效率。

3技术特点

3.1全面的数据采集与分析

NGSOC产品为实现对企业内部安全管理的全面监控，在数据采集方面支持更加全面的采集范围。

针对传统事件（event）的采集，NGSOC可以支持对各种安全设备、网络设备的syslog和flow日志进行采集，并能够提供适配linux与windows双平台的专业Agent针对数据库、系统日志、中间件日志、其他文本日志提供全方位的采集。

在传统的事件（event）采集外，还支持原始流量行为的还原与采集，区别于netflow等采样式流量采集方法，NGSOC使用专有的流量采集设备-流量传感器对流量中的会话行为、事务、应用动作进行还原并形成相关日志进入存储和分析环节。

由于并无采样，所以NGSOC能够还原的流量日志可以更加完整的还原流量行为，不存在类似netflow的丢具体会话信息的情况。

在传统事件信息、流量行为日志以外，NGSOC还能对接来自360企业安全集团天擎终端安全管理系统的各种终端行为日志，目前能够采集包括终端进程流量行为、终端文件行为、U盘文件传输、邮件文件传输、IM文件传输等行为日志，由于终端日志相比网络日志更加具体、可以帮助分析人员发现启动恶意进程的相关文件，所以在整个威胁的发现、回溯过程中也会体现重大价值。

3.2大数据基础架构

更全面的日志采集，即带来了分析的便利也带来了性能的烦恼。

传统SOC产品在10亿条日志规模下会出现性能的剧烈下降，该问题主要受限于传统SOC产品普遍使用的关系型数据库自身设计上的局限性。

如果由该架构实现来承接流量日志和终端日志，甚至是操作系统日志都可能导致灾难性的后果。

为解决相关问题，NGSOC产品在国内开创性的使用了大数据基础架构更替了传统的数据存储和计算方式。

为解决海量数据的快速存储和读取问题，NGSOC产品使用了分布式全文检索技术，该技术可以在日志入库前针对日志建立全文索引，并进行分片存储于多台设备或多块磁盘。

系统在进行日志查询时可以将对应查询指令分发到多台设备执行，并利用大内存再次提升检索性能。

最终NGSOC产品可以面向千亿条日志提供存储查询功能，查询效率为秒级。

在海量日志场景下，数据的可靠性成为另一难题。

NGSOC产品可以将接收到的日志进行自动备份，并进行分片，再存储于不同的磁盘。

通过该实现可以保证任意一块硬盘损坏后系统数据不丢失，可恢复。

同时系统提供了良好的扩展机制，存储和计算能力都支持即插即用式的扩展，所有存储和计算的负载均衡均在后台自动处理，无需人工干预。

3.3专业化日志搜索分析

用户的业务场景千差万别，针对用户不同的数据统计及呈现需求，传统SOC/SIEM产品往往需要通过定制化开发实现，将极大增加交付及维护成本。

NGSOC产品设计了专家搜索模式，将SQL的最佳功能与Unix管道语法封装为脚本命令，用户直接在搜索框里输入相关命令即可实现对海量日志的搜索、关联、分析和可视化。

NGSOC产品可提供30多种搜索命令，可灵活适应不同的应用场景。

例如使用功能强大的"stats"命令，以及20多种不同参数选项，能够计算统计数据并生成趋势。

然后，在一定任何时间范围和粒度内图表化并可视化这些结果和统计数据。

图3NGSOC专家模式日志搜索结果呈现

3.4高性能关联分析

关联分析作为传统SIEM产品的必备功能，往往承担了威胁发现的主要职责。

但与定位相左的现实情况是，传统的关联分析往往仅能提供3000EPS（EventperSecond）到5000EPS的性能，这种性能完全无法应对当前动辄上百台安全设备、上千台服务器的客户IT环境。

为此，NGSOC产品重新设计了关联分析的核心引擎，将CEP（复杂事件处理）的技术实现结合安全业务场景进行了大量的实现加速、逻辑优化，最终可以提供20000EPS

（50条规则）的关联性能。

同时在关联规则引擎中独创性的加入了流量日志关联功能，用户可以将流量日志引入到关联分析过程中，通过回溯任务的方式对流量中的历史行为进行规则化分析。

3.5丰富的威胁情报

传统SOC产品经过多年发展，可以面向用户提供全面的安全管理功能，但对于真正威胁的发现、分析、处理上并无法提供更多的知识输入，相关高级威胁的检测更多地还是依赖于IPS或APT检测类设备实现。

为了解决相关问题，NGSOC产品引入了360企业安全集团的核心威胁情报数据，可以通过失陷类威胁情报直接对高级威胁或APT攻击进行检测和跟踪、并使用云端威胁情报中心的海量数据情报对各种告警中的IP、域名、文件MD5进行进一步分析和解释。

威胁情报的使用，直接可以扩展客户的安全视野，通过使用360企业安全集团的知识储备帮助客户理解自身的安全状况和突发情况的处置方式。

而目前360企业安全集团开放的失陷类威胁情报中相关失陷指标数量多达数万条，同时保持着每天更新的快速更新频率以保证对高级威胁的及时跟踪。

这些失陷类威胁情报中包含了360实时跟踪的几十个APT组织的活动信息，还有大量黑产使用的高级攻击方式。

在云端威胁情报中心，360更是提供了多达数亿的恶意样本的查询、全球域名whois信息查询、域名判定标签、IP归属地及相关样本等高价值信息。

同时NGSOC产品也支持用户威胁情报的自定义和第三方威胁情报（OpenIOC、STIX格式）的导入，通过这种方式可以为客户提供更加灵活和开放的失陷类情报管理。

3.6精准的多维度威胁检测

企业用户经常会淹没在各种IDS、WAF设备的安全告警中，而这些告警的分析、处置往往成为另一头疼的问题。

在这方面，传统安全管理产品往往会通过过滤、归并、关联等方式实现一定程度的告警量下降。

但依靠这种方式无法对真正威胁做到有效追逐，因为告警的准确度会受限于IDS或WAF等检测设备的实现情况和告警的过滤、归并手段。

任何一个环节有问题都将导致大量误报或漏报出现。

而且传统检测技术更加侧重于所有攻击企图的发现，无法有效鉴别哪些攻击是真正造成恶劣影响的、是需要处理的。

为了解决相关问题，NGSOC产品采集了大量的原始日志和流量信息，相关数据会经过多维度的检测手段进行分析，以帮助客户判断真正的威胁在哪里。

除了关联分析、失

陷类情报关联以外，NGSOC产品还使用了网站漏洞利用检测、WEBSHELL检测、远控检测等一系列手段。

网站漏洞利用检测

NGSOC产品可以依靠来自于机器学习算法的语料库规则对WEB攻击进行高精确度判断，再结合语义检测和动态响应特征检测技术，可以实时的发现利用成功的WEB漏洞攻击行为。

通过该实现可以对WEB安全进行及时预警，也可解决海量WAF日志但无重点的问题。

只要出现相关WEB漏洞利用告警，安全管理人员需要迅速做出相关响应动作。

WEBSHELL检测

利用轻沙箱检测机制和控制指令监控功能，NGSOC可以对WEBSHELL上传、控制等一系列攻击行为进行监测和跟踪，对WEB主要威胁进行针对性处理。

远控监测

通过对远控通道和指令进行监控，NGSOC可以发现网络中存在的已经被恶意软件或黑客组织控制的主机，由于相关告警直接反映了网内主机失陷的情况，必须进行有针对性的处理，所以也是安全管理中的重要部分。

4产品功能

4.1威胁管理

NGSOC产品提供面向威胁全生命周期的管理功能，可以通过多种威胁检测手段对威胁进行发现，并集中呈现全网的各种威胁情况。

客户可结合各自需要对威胁进行筛选、标记、处置。

同时NGSOC产品也支持针对威胁的处置工单下发，管理者可以指定对应威胁的处置责任人，通过邮件、短信、消息中心等方式进行通知，由其对威胁进行处理，并跟踪工单流转状态。

NGSOC产品也支持根据设定的动作进行自动化通知下发告警，提升日常运营工作的效率。

如果方案中包含360天擎终端安全管理系统，还可以对其进行威胁情报告警的通报以推动相关EDR处置组件的运行。

系统支持对威胁告警自定义各种维度的可视化统计分析，这些维度包括源IP、目的IP、危害等级、告警类型、告警状态、关注点、告警IOC、单位等，可以进行两个维度的对比使用，统计出各种维度的告

警数量。

用户可以生成各种所需维度的视图并进行展示，展示方式包括统计视图，视图种类包括柱状图、折线图、条形图、面积图、饼图、词云图、玫瑰图、表格等。

同时可视化的告警视图可以被仪表板及报表系统调用。

针对告警用户可以指定告警加白策略，指定哪些条件下的告警内容不进行告警展示。

4.2资产管理

资产管理是NGSOC的重要功能模块，NGSOC产品能够提供对网内资产的扫描发现、手工管理、资产变更比对、资产信息整合展示等基本功能。

资产发现部分，NGSOC可以通过IP扫描、SNMP扫描、流量发现等手段对网内IP的存活情况进行跟踪，一旦发现超出当前管理范围的IP，用户可以导出相关数据进行编辑再录入资产数据库。

而对于已经录入资产数据库的资产，用户可以通过分组、标记等方式对资产作更加细致的管理，NGSOC也会提供长期的服务、流量、威胁相关的监控，所有资产相关的监控数据在资产详情页均可查看。

而且为了方便用户快速掌握资产信息，NGSOC产品上任何一个威胁如果涉及到资产信息，用户均可直接在告警上查看到相关资产的基本信息并能够快速切换到资产页面查看对应详情。

资产详情中将展现资产属性基本信息、资产相关告警信息、资产相关漏洞信息及资产相关账号信息，可视化呈现资产的多维度信息。

系统支持对资产自定义各种维度的可视化统计分析，这些维度包括资产IP地址、资产组、责任人、责任部门、网关标识、操作系统类型、权重、厂家等，可以进行两个维度的对比使用，统计出各种维度的资产数量或待处置漏洞。

用户可以生成各种所需维度的视图并进行展示，展示方式包括统计视图，视图种类包括柱状图、折线图、条形图、面积图、饼图、词云图、玫瑰图、表格等。

同时可视化的资产视图可以被仪表板及报表系统调用，

4.3拓扑管理（收费模块）

NGSOC产品支持对企业网络拓扑进行扫描和发现，用户可以将管理好的资产直接添加到任何一个自定义网络拓扑中，并对拓扑进行相关编辑。

在拓扑管理页面，用户可以连接任意资产、调整拓扑的展示布局、隐藏连接关系、隐藏资产名称、查看资产详情，完成拓扑绘制相关的所有工作。

同时为了实现逻辑拓扑和实际拓扑的映射，NGSOC产品提供了实际拓扑与逻辑拓扑图映射的功能，用户可以将实际拓扑上的关键设备映射到逻

辑拓扑图上的指定区域，以此帮助用户快速理解实际拓扑对应的管理责任。

拓扑管理生成的拓扑图在态势感知模块中将作为重要展示元素结合风险值进行展示，以从宏观层面体现企业内网的安全情况。

4.4漏洞管理（收费模块）

NGSOC产品能够支持直接调度指定厂家的漏洞扫描器及人工漏扫报告，实现扫描任务的创建和下发。

同时NGSOC产品支持导入多种厂家的漏洞报告，并且支持灵活自定义的漏洞报告解析规则，可以轻松适配不同客户的漏洞管理需求。

对于导入的漏洞，NGSOC产品将按照资产的情况进行漏洞的归并展示，帮助用户直观的掌握资产漏洞情况。

漏洞详情描述支持关联查询漏洞知识库，漏洞详细信息为处置提供依据。

NGSOC产品支持针对漏洞进行处置状态管理、处置任务的工单下发，实现漏洞的闭环管理。

系统支持对漏洞自定义各种维度的可视化统计分析，这些维度包括资产IP地址漏洞名称、发现时间、CNNVD编号、CVE编号等，可以进行两个维度的对比使用，统计出各种维度的漏洞数量。

用户可以生成各种所需维度的视图并进行展示，展示方式包括统计视图，视图种类包括柱状图、折线图、条形图、面积图、饼图、词云图、玫瑰图、表格等。

同时可视化的漏洞视图可以被仪表板及报表系统调用。

4.5日志搜索

NGSOC产品提供了三种针对事件/流