25-安全感知平台功能说明-分析中心.pptx

下载文档

2
0
约2.92千字
约 36页
2024-10-13 发布于广东
举报
版权申诉
保障服务

25-安全感知平台功能说明-分析中心.pptx

1、本文档共36页，可阅读全部内容。
2、有哪些信誉好的足球投注网站（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。
3、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。

安全感知平台功能说明-分析中心

熟悉分析中心的分析功能教学目标

分析中心目录

分析中心分析中心的作用说明：1、分析中心结合了深信服安全感知平台的可视化威胁追捕、溯源分析、情报关联、行为分析等技术提供的可视化数据呈现，展现那些暂未形成安全事件，但存在可疑，或结合业务现状可分析发现存在异常的数据，提供给驻点安全专家，或有一定安全分析能力的运维人员进行分析，从正常现象中挖掘异常。查看主机存在的外部、横向、外连，三个方向的威胁以及访问情况进行分析。对恶意文件以及邮件威胁可以直接查看到。2、对2U的SIP平台还可以使用SIEM与EBA发现更多的主机风险，可以全方位的对安全事件进行识别。

分析中心通报说明：1、分析中心包括了外部、横向、外连三个方向的安全与访问关系，并对数据传输中的文件威胁和邮件威胁做出了单向的检测展示。2、对访问情况，平台还将识别其访问次数以及访问流量，并通过机器学习出基线，识别出异常，通过EBA（行为画像）展示。3、若在有第三方操作系统以及第三方设备可以接入到SIP时，会通过SIEM进行关联分析。

分析中心分析中心功能介绍威胁分析来自互联网，内网的攻击，包括外部威胁、横向威胁，外连威胁和文件威胁、邮件威胁检测。

分析中心分析中心功能介绍访问分析检测互联网，内网主机的访问关系，审计访问行为。日志检索平台审计的安全日志，审计日志以及第三方日志等。情报分析查看当前平台的威胁情报总量，检测到内网存在威胁情报的情况，并可自定义威胁情报以及将误报的情报加入白名单。SIEM分析系统通过接入第三方设备/操作系统日志进行异常行为分析。行为分析（EBA）通报机器学习，建立服务器访问基线，为后续识别出服务器的异常流量以及异常访问等。

分析中心威胁分析----外部威胁分析来自互联网的攻击，包括总览、高危攻击、残余攻击、外部风险访问等。快速识别到互联网的攻击，可用于分析入口点。

分析中心威胁分析----横向威胁分析来自内网主机的攻击行为，包括横向攻击、违规访问、可疑行为等。

分析中心威胁分析----外连威胁分析内网主机主动向互联网发起的攻击行为或异常连接，包括对外攻击，CC通信，隐蔽通信等。

分析中心威胁分析----文件威胁分析STA审计到的文件，上传到SIP通过分析引擎进行识别是否为恶意文件。

分析中心威胁分析----邮件威胁分析包括钓鱼邮件、垃圾邮件以及病毒邮件的检测分析。

分析中心威胁分析----分析中心是用于更高级的安全事件分析工具，较处置中心，需要更强的安全分析能力。如当在处置中心中发现一台主机的威胁等级为中危、低危时，可以通过分析中心对该主机进行外部、横向、外连等维度的威胁分析。如发现00这台服务器存在一些异常行为但是处置中心为低危，如下图：

分析中心低危事件为被互联网远程风险访问，这时还可以通过分析中心进行查找是否存在其它的行为我们在横向可疑行为上发现了该服务器还存在扫描行为，通过人工的方式进一步分析威胁分析

分析中心分析中心----访问分析页面图示：

分析中心访问分析功能概述横向访问分析通过探针审计横向访问流量分析出服务器流量排行以及内网最活跃的源主机。外连分析识别内网主机访问互联网的情况，分析服务器和终端，是否访问到没有业务的地域行为。外对内业务流量分析审计互联网对DMZ区业务的访问情况，识别出是否有异常的大流量访问或大量的访问次数。可疑DNS分析探针审计到内网主机访问了一些异常的DNS访问请求。访问控制核查配置好需要核查的关系，通过探针进行审计，是否存在该访问关系。

分析中心访问分析----访问关系用于分析主机发起的横向或外连的行为，较之前介绍的“正常横向访问监控”、“正常外连监控”更详细。横向连接内网横向访问可以查看被访问服务器的流量情况以及最活跃的源主机情况。

分析中心访问分析----对外连接内网主动向互联网发起连接，并区分出服务器与终端。

分析中心访问分析----外对内业务流量分析该页面可视对外网开放的业务流量情况，如可视哪些业务访客最多，流量最大，来自于哪些地区的访客。

分析中心访问分析----可疑DNS分析访问一些高风险注册地（小国家的地址，如蒙塞拉特岛、萨摩亚等可以自定义）政府单位会关注。

分析中心访问分析----访问控制核查该页面通过观察指定的IP（组）之间是否有访问，来核查访问控制策略是否生效。

分析中心日志检索是最原始的数据源，其中有安全日志也有审计日志，上述的分析中心模块是已经将日志检索中的日志进行聚合的结果，只在需要分析单条日志时才使用日志检索。日志类型选择用于筛选安全日志，审计日志以及第三方接入设备/操作系统日志，进行分类查询。有哪些信誉好的足球投注网站框可以自定义输入查询的字段，有哪些信誉好的足球投注网站技巧可以查看帮助文档。日志方向在分析日志时，可能有时需要只筛选某个方向上的日志，可以使用此功能。重点/可选字段在检索到的日志时，有一些字段默