SOC安全运营中心产品

0x00 背景

     SOC( Security Operations Center) 安全运营中心，单独依赖于某些安全产品，在效果上总感觉有一个孤岛效应，从安全工程的角度来说，将安全工程化、系统化、流程化是一个更好的趋势，把安全过程中的有关各方如各层次的安全产品、分支机构、运营网络、客户等纳入一个紧密的统一安全管理平台中，尝试先构建一个完整的底层基础平台，再有的放矢地去完善管理、制度、策略、方针、基线的上层建筑。SOC就是这样一个有力的辅助工具，下文为在我有限的时间见过或者了解到的一些SOC平台及其介绍。

0x01 SOC产品

IBM QRadar Security Intelligence Platform（安全情报平台）

• IBM QRadar简介- QRadar 专为大型企业设计，多功能集成。
• Resilient 简介 - 整合安全分析、取证、漏洞管理及事件响应，从而企业防护、检测和响应威胁进行协调。
• IBM QRadar Security Intelligence Platform（安全情报平台）是围绕 IBM QRadar SIEM 构建。IBM QRadar Vulnerability Manager（漏洞管理器）使用虚拟机数据上下文化事件数据。IBM QRadar Network Insights（网络流量分析）提供基于 QFlow 的应用程序可见性\IBM QRadar User Behavior Analytics（用户行为分析）是处理某些内部人威胁用例的免费用户行为分析 (UBA) 模块。IBM QRadar Incident Forensics（事件取证）提供取证调查支持。IBM QRadar Advisor with Watson（认知安全分析）为已识别威胁提供自动化根源研究。QRadar可以一体化部署，也可以选择分布式部署。

Splunk + Phantom / Resilient

• splunk 安全平台简介- Splunk 收购Phantom,加速安全事件响应。
• Phantom 简介- 安全运营自动化和编配,打造企业级SOAPA。
• Splunk和Phantom如果与服务提供商合作，帮助企业打造和设计SOC，帮助企业打造和设计SOC，搞定常规事件响应计划(IR)，用好未来几年里GDPR的部署、改进与市场对GDPR的恐慌情绪，这可能是数亿美元级别的商业机会。
• Splunk vs. QRadar：竞品分析

奇安信NGSOC

• 奇安信NGSOC 简介- 新一代态势感知与安全运营平台。
• NGSOC是奇安信集团基于大数据架构自主构建的一套面向大型政企客户的新一代态势感知与安全运营平台。该平台在ISO27000协议族和国家等级保护基本要求的指导下设计完成，可以为管理者发现内外网威胁、管理IT资产、监测全网漏洞及风险、联动阻断攻击事件，以及对威胁的事前预警、事中发现、事后回溯功能，贯穿威胁的整个生命周期管理。

启明星辰泰合信息安全运营中心系统—TSOC

• TSOC简介- 一站式安全运营中心解决方案。
• 泰合安全管理平台（信息安全运营中心系统-TSOC）是一个以IT资产为基础，以业务信息系统为核心，以客户体验为指引，从监控、审计、风险和运维四个维度建立起来的一套可度量的统一业务支撑平台，使得各种用户能够对业务信息系统进行可用性与性能的监控、配置与事件的分析审计预警、风险与态势的度量与评估、安全运维流程的标准化、例行化和常态化，实现业务信息系统的持续安全运营。

绿盟企业安全平台(NSFOCUS-ESP)

• NSFOCUS-ESP简介- 大数据+威胁情报，通过运维手段实现全生命周期的安全闭环处理流程。
• 绿盟企业安全平台以大数据框架为基础，结合威胁情报系统，通过攻防场景模型的大数据分析及可视化展示等手段，协助企业建立和完善安全态势全面监控、安全威胁实时预警、安全事故紧急响应的能力。通过独有的自适应的体系架构，高效地结合情境上下文分析，协助安全专家快速发现和分析安全问题，并能通过运维手段实现全生命周期的安全闭环处理流程。

华青融天 EZAccur - 安全运营

• 简介 - 作为安全防护体系的大脑和指挥部
• EZAccur安全运营产品，能够通过实时收集企业IT资源中各种与信息安全相关的日志信息和网络流量，结合资产信息和威胁情报，利用大数据技术进行集中存储和快速分析。除提供基于规则的安全事件关联分析之外，通过机器学习识别用户异常行为，提升安全风险评估的准确性和时效性，量化安全运行指标，对企业所面临的内外部攻击及违规行为主动发现和实时告警，为业务系统提供犀甲般的全方位守护。

亚信安全运营与态势感知平台(企业版)【MAXS】

• 简介 - 实现最大化安全价值统一管理与分析，自动响应第一时间降低危害。
• 亚信安全运营与态势感知平台（企业版）【MAXS】提供安全顶层聚合能力，实现最大化安全价值统一管理与分析。基于安全大数据中心，高效构建立体化、智能化、主动化、动态化的安全运营与态势感知体系，严格落实网络安全法与等级保护制度，实现安全空间外部与内部威胁、行为的实时监测，智能分析威胁事件及时完善通报处置，联合威胁情报狩猎追踪，自动响应第一时间降低危害。

深信服安全感知平台SIP

• 简介 - 检测、预警、响应处置的大数据安全分析平台
• 以安全运营中心为定位，以全局可视化展示，内部威胁检测为特长。其以全流量分析为核心，结合威胁情报、行为分析建模、UEBA、失陷主机检测、图关联分析、机器学习、大数据关联分析、可视化等技术，对全网流量实现全网业务可视化、威胁可视化、攻击与可疑流量可视化等，帮助客户在高级威胁入侵之后，损失发生之前及时发现威胁。

瀚思的全场景安全平台

• 简介 - 强调SIEM+威胁猎捕的威胁管理平台
• 瀚思的全场景安全平台由HanSight Enterprise（SIEM平台）、UBA（用户行为分析模块）、NTA（网络流量分析模块）、TIP（威胁情报管理平台）组成。瀚思将网络安全、内部安全、业务安全的威胁检测以及响应纳入一个统一的平台，并加入动态威胁追踪、自动威胁分析、新型威胁猎捕等高级威胁检测以及事件相应功能。用一个统一的威胁管理平台赋能企业，改变其应对各类威胁挑战，解决现阶段支离破碎的信息安全管理问题。

新华三安全威胁发现与运营管理平台增强版

• 简介 - 实现“安全大脑”的闭环决策
• 新华三安全威胁发现与运营管理平台贯穿安全风险监控、分析、响应和预测的全过程，以威胁、风险、资产、业务、用户等为对象，基于安全日志、网络流量、用户行为、终端日志、业务数据、资产状态等多源数据，结合外部情报，通对全局状态评价、外部攻击评级、系统合规自检等手段，实现“事态可评估”；通过对攻击趋势分析、异常流量判断和终端行为检测，实现“趋势可预测”；通过对未知威胁的智能检测识别、流量/行为/资产的状态监控和多维度风险分析，实现“风险可感知”；通过对攻击溯源取证、云网端协同联动、工单流程闭环处理和设备策略自适应调整，实现“知行可管控”。

安恒 网络安全态势感知通报预警平台

• 简介 - 网络安全管理闭环，面向主管单位及大型企事业单位
• 平台主要面向政府、网信、公安、行业主管单位及大型企事业单位。平台按照监管部门的指导要求，设计了等级保护管理、实时监测、态势感知、通报预警、应急指挥、情报管理、追踪溯源等功能，是具有综合安全事件分析与全局安全感知能力的安全管理平台。平台利用多种威胁监测技术、大数据关联分析及机器学习技术，配合威胁情报数据服务，对其重要关键信息基础设施进行全面的画像、风险检测、攻击溯源，深度描述在网络安全层面上的人、物、地、事以及关联关系五大要素。实现了对安全事件的事前预警、事中发现、事后回溯等功能。帮助用户从全局上把握整体网络安全总态势、建设网络安全管理闭环。

锐捷RG-BDS大数据安全平台

• 简介 - 利用工单系统和知识库相结合，实现责任到人且快速处理问题
• RG-BDS是协助用户实现安全策略管理、安全组织管理、安全运作管理和安全技术框架的中心枢纽，产品架构采用包括数据存储、管理控制、处理分析、采集控制四大组件的综合日志分析平台，产品可采用集中和分布式部署两种方式，采集器将百万级别的异构日志信息统一收集上来，结合日志模型库执行标准化编译，经过处理分析组件过滤掉无效的数据和日志，最终筛选出真正有效的信息安全告警，帮助用户快速定位网络安全问题，利用工单系统和锐捷安全知识库相结合，实现责任到人且快速处理问题，让网络安全事件完整闭环，帮助客户在网络安全方面极简运营。

腾讯云T-Sec 安全运营中心（私有云、公有云）

• 简介 - 聚合腾讯云各类安全服务，大屏呈现，可私有化本地部署。
• 结合腾讯二十年安全运营经验，遵从安全自适应以及业界领先的新一代安全运营架构构建。无缝集成流量采集、日志采集、安全事件综合分析、威胁情报、漏洞管理、资产管理以及腾讯响应阻断系统，从而构成安全运营整体方案。同时聚合腾讯云各类安全服务，采用可视化的大屏模式呈现给客户，实现业务、风险的可视化。

阿里云云安全中心（公有云）

• 简介 - 阿里云云上安全监控和诊断服务，提供安全事件检测、漏洞扫描、基线配置核查等服务。
• 云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系统，通过防勒索、防病毒、防篡改、合规检查等安全能力，控制台在阿里云，可以在本地IDC、腾讯云、青云、亚马逊、UCLOUD等环境安装云盾agent。

0x02 开源软件搭建SOC

+如何建设一个安全运营中心（SOC） - IT应用成熟度较高的大型企业开始进行这方面工作的试点和探索

+开源SOC的设计与实践 - 开源日志系统+威胁情报

+思科OpenSOC - 项目已迁移到Apache Metron，改行了，专注于数据分析

0x03 企业自研开发SOC

• 国内互联网大型企业：阿里云云、腾讯云、京东、百度等
• 国内传统大型企业：华为、平安科技、顺丰等

0x04 参考

SIEM产品

SOC产品

欢迎各位留言补充^^_^^ !