观安观鉴安全态势与日志分析系统_网络威胁检测响应系统

观安观鉴安全态势与日志分析系统

观安观鉴安全态势与日志分析系统，打造资产管理、威胁管理、响应处置、监测预警四维一体运营态势平台。实现资产集中数字化管理，深度发现威胁并全周期管控，支持安全事件智能分诊处置，多维度持续监测预警与及时通报，助力企业提升安全运营效率，降低运维成本。

立即咨询

平台建设目标

为用户提供集”资产管理”，”威胁管理”，”响应处置"，“监测预警”，“四维一体的运营态势平台。

资产管理

实现资产集中数字化管理

全面把握资产的安全动态

· 资产无感知被动发现；

· 资产全生命周期纳管；

· 资产风险量化评估。

威胁管理

为用户深度发现威胁事件

建立安全事件全周期管理

· “告警+事件”两级架构

· “实时+离线”两类引擎

· “对象+聚合+图论”三大分析视角。

响应处置

智能化分诊和处置安全事件

提升处置效率，降低用人成本
· 自定义响应处置流程
· 智能化匹配处置流程
· 自动化联动设备处置。

监测预警

实现持续化多维度态势监测及时进行预警通报，提前应对

· 多维度掌握全局态势
· 自定义专项监测
· 实时通报预警下发。

平台功能架构

平台业务流转图

网络资产识别管理和关系绘制 icon

入网终端第一时间被发现，优于主动扫描。

无侵入式被动发现，基于日志、脆弱性等数据。

新入网终端，30秒内即可被识别加入未纳管资产管理。

识别多种资产类型和指纹信息，如Web服务器、邮件服务器、数据库、终端等。

1、资产信息录入
通过在线新增填写和批量导入的方式实现资产台账补全。
2、主被动资产发现
支持主动探测方式发现资产支持被动发现，基于流量、日志、脆弱性等数据进行资产发现及纳管。

3、定义资产价值
通过CIA三元素进行资产价值的定义，明确资产在网络中的定位

4、多类型资产视角
提供设备，应用等不同类型的资产的视角

5、资产量化评分基于CVSS评分模型，对异常资产进行量化评分。

漏洞数据接入与脆弱性管理 icon

通过漏洞扫描器联动或导入第三方漏扫报告，发现各类资产的脆弱性，帮助用户了解资产目前的弱点，实现资产的脆弱性管理。

漏洞接入：丰富的漏洞接入，支持绿盟漏扫设备、Excel模板导入报告。
资产管理：细粒度资产管理，灵活精准地做到资产漏洞关联，漏洞知识库关联
闭环管理：可实现资产与漏洞信息的下发、修复、验证等功能的资产全生命周期管理。
风险分析：结合资产、责任人、系统、部门，给出全面的资产风险评估、漏洞跟踪分析。

一站式数据采集&预处理 icon

情报功能体系架构

· 在功能应用方面，支持随时调用线上接口进行查询，实时更新缓存，并使用 clickhouse进行持久化存储和管理分析。同时，支持认证鉴权，向第三方提供情报服务，并对调用次数、频率等进行记录和监控。
· 在数据存储方面，引入Redis缓存机制，用户可根据自身业务需求选择优先查询本地缓存或优先查询线上接口。
· 在分析处理方面，观安自建情报标准体系和融合计算逻辑，对多源情报进行评分评级以及标准化融合，从而判断情报内容可靠性，实现多源情报融合。
· 在数据接入方面，支持插件化配置式接入外部情报，快速适配多个厂商情报服务。

情报融合与情报利用

情报采集：采集商业情报源，私有情报源以及开源情报源多情报，进行关联碰撞；

情报接入：插件化秒接多源情报，按需启停并一键标准化；

情报融合：通过统一分类、双有效机制将多源情报进行标准化。

情报碰撞：通过与原始日志进行情报碰撞，降低告警误报

情报利用：通过情报查询，查找威胁情报详细信息，进行威胁溯源
API授权：密钥鉴权+配额计费+行为监控，三件套保障情报共享安全合规

基于告警+安全事件的两级分析模型 icon

基于AI知识图谱 + 图算法的高级威胁挖掘技术 icon

基于ATT&CK的攻击方技术检测点 icon

结合AT&CK技术框架对单独攻击行为对应的攻击技术和节点进行分析，确定本次攻击路径涉及的具体攻击阶段名称和该阶段的具体单独攻击行为，并以结合整体框架分析攻击事件，进行攻击阶段梳理及攻击行为时序关系分析，逐步还原重现攻击路径。

ATTCK矩阵

关联规则 - AT&CK能力矩阵展示与策略规则相关的矩阵信息，支持对策略信息的下钻以及信息查询，管理现有平台检出能力
关联告警 - ATT&CK能力矩阵展示了与生成告警相关的矩阵信息，支持对告警信息的下钻以及信息查询，查看现网中的。

数据融合 - 画像分析 icon

攻击者画像

· 攻击者详情信息展示，包括但不限于：地理位置，威胁类型，情报信息等；

· 攻击者攻击情况展示，包括但不限于：首次攻击时间，最近攻击时间，cookie特征，useragent信息，攻击手法，攻击目标，攻击流向图等；

· 攻击者攻击情况原始日志查看
· 攻击者整体攻击情况分析，展示攻击趋势；

· 关联威胁情报信息，展示攻击者同C段攻击者信息，包括但不限于:地理位置，发现时间更新时间标。

受害者画像

· 受害者详情信息展示，包括但不限于：资产IP，安全域，所属部门，录入时间，责任人，设备类型等；
· 结合脆弱性情况和威胁情况对受害者进行风险综合评分，并分别展示脆弱性评分和威胁评分；
· 支持展示受害者近7日评分趋势脆弱性详情，访问关系，端口情况；
· 支持受害者被攻击流向图展示，展示攻击者IP，攻击者手法；

· 支持基于ATT&CK框架展示受害者被攻击阶段和被攻击技术点；

· 支持受害者整体告警情况分析，展示告警趋势；

· 支持基于受害者的攻击溯源轴，展示攻击时间，攻击手段，攻击持续时间等信息。

交互式威胁狩猎与溯源 icon

威胁狩猎是一个主动分析驱动的过程，目的是在环境中搜索绕过已有检测手段的攻击者。基于资产，日志，漏洞，情报，告警各种数据出发，然后通过自动和手动的结合，通过不断的线索添加把相关的路径和关系绘制出来。

1、发现SSH暴力破解告警
2、挖掘攻击者IP，查看是否有外部攻击者对该服务器发起攻击
3、挖掘关联用户、关联账号，查看是否有有效线索
4、挖掘漏洞，发现有Struts2远程命令
5、挖掘到同样有该漏洞的资产10.20.27.91，可提前采取措施进行防护
6、同时，继续挖掘攻击者的访问行为，能够发现更多的被攻击者，发现失陷主机均存在弱口令
7、通过挖掘访问行为，发现内网服务器主动访问外网，运维人员可以判断出这属于明显的异常行为
8、再通过关联威胁情报发现该外网地址为挖矿矿池台

交互式威胁狩猎Usecase icon

综上，通过收集安全告警、安全事件，利用威胁狩猎工作台分析攻击思路，追溯攻击手段，同时追溯内网资产及其脆弱性，关联威胁情报，直观展示攻击链的同时，快速掌握攻击手法、攻击目的、脆弱性等攻击要素。

AI自动化研判

使用AI研判之后效果

1、专家数量大幅减少，客户成本大幅降低；

2、研判效率提升，由延时变为实时，让实时阻断攻击成为可能；
3、性能提升，10分钟一条提升为1秒30条，单机情况下大约提升18000倍

持续监测，安全态势

产品优势

全面的数据采集接入

支持20+日志数据接入方式，流量数据全面解析，资产数据无侵入式发现，威胁情报第三方对接。

多层次挖掘模型检测

内置200+安全规则+ 算法模型，覆盖Webshell检测，Webscan检测，弱口令检测，web攻击，邮件攻击，暴力破解等。

智能的安全分析模型

应用ATT&CK攻击链，支持40+攻击场景模型；支持150+用户异常行为模型，基于自主研发的"GPL"分析模型引擎，自定义探索深度异常威胁行为。

多维的安全态势呈现

内置资产失陷态势，外部攻击态势，业务系统态势等大屏，从资产，攻击，系统等纬度对企业安全情况进行可视化呈现。

全面的安全运营业务

内置资产中心，监测中心，分析中心，运营中心，处置中心，狩猎中心等业务中心，构建体系化、实战化、常态化
的安全运营体系。

用户实体行为分析UEBA icon

1、内部人员风险挖掘、外部威胁挖掘、业务安全和安全运维
2、围绕用户、设备和行为三个关键要素，进行高级分析和综合评分。
3、自动用户及实体发现技术，基于数据立方体的多维度行为技术用户及实体行为会话重组技术三大核心技术。

UEBA深度挖掘模型示例 icon

恶意内部威胁场景（针对内部人员）

在此场景域中仅监视员工和受信任的外部方 (供应商) 是否出现异常，不良或滥用行为，主要的目的是寻找从事恶意活动的内部人员。本质上，恶意内部威胁来自具有恶意意图的可信赖用户，这些用户试图对其雇主施加损害。由于很难评估恶意意图，因此需要分析日志文件中不易找到的上下文行为信息，例如电子邮件内容，绩效评估或社交媒体信息等：
· 用户离职倾向及恶意活动动机检测
· 已离职人员及无HR记录人员异常操作
· 基于多维基线的罕见操作类型发现
· 基于时间序列的异常操作分析
· 异常高危命令执行，及对等组分析

数据外泄场景
此领域的场景专注于检测企业中的数据泄漏行为。通过异常检测和高级分析来增强DLP或数据访问管理系统，提高其信噪比、归并警报，优先处理高风险事件。并结合网络流量和终端数据，发现数据渗漏行为，捕获威胁企业的恶意人员和外部黑客：

· 基于多维基线的数据库罕见操作类型发现

· 基于时间序列的数据库异常操作分析
· 敏感数据操作对等组分析
· 账户被盗并且随后发生数据泄露

· 被主机被感染或失陷后的数据泄露

被攻陷的内部账号及APT威胁场景（针对外部黑客）

在此场景域中重点针对外部黑客，由于在高级威胁中通常都会威胁迫使资产和用户的行为与正常的行为不同，那么可以通过异常检测的手段（如时间序列异常、罕见值异常），发现合法用户突然的异常行为、以及资产失陷的情况，并运用ATT&CK的攻击模型，快速定位外部攻击者的威胁行为，促进有效的响应和调查：
· 综合暴力破解、撞库、异常登陆地等特征，检测账号被盗风险
· 基于ATT&CK及杀伤连还原和检测APT攻击过程

· 通过DNAtunnel和DGA协议异常检测失陷主机
· 通过NTP传输异常检测失陷主机
· 通过机器信标 (心跳信息) 检测失陷主机

身份与特权访问管理场景
此领域的场景根据已建立的访问权限监视和分析用户行为，目的是识别过度权限或异常访问。这适用于所有类型的用户和帐户，包括特权用户和服务帐户：
· 账号借用、共用、及越权审计
· 特权账号异常操作 (命令执行、异常事件登录等)

· 岗位角色未分离 (同时拥有申请和审批权限)

· 机器操作行为、及报表批量爬取异常 (偏离基线)

· 权限设置不当 (权限设置与人员岗位设置不符)

· 休眠帐户、临时账号、已离职账号的异常登录和操作

典型典型算法模型介绍--（基于DNS发现异常受控主机） icon

实现目标：通过DNS异常发现受控主机

1、通过DNS数据发现行内存在受控主机清单；
2、不依靠情报，判定C&C域名，包括检测DGA监测、DNS异常行为监测等;
3、对受控主机进行风险评分；

4、基于已有数据对攻击者、攻击者与行内受控主机的关联关系进行
SOC规则一：DNS日志请求域名匹配威胁情报，若为恶意域名则告警，请求主机可能为失陷主机。

SOC规则二：DNS日志请求域名长度大于100个字符则告警，请求主机可能使用DNS作为隐蔽通道传输敏感数据。

痛点：漏报高，失陷主机威胁未评分，排查难；
UEBA模型：通过神经网络算法模型深度学习，关联关键特征指标利用DGA、孤立森林算法计算失陷主机的风险评分，评分越高威胁越大。
优势：威胁定位准，风险量化评分，按优先级排查;
事件分析：1、成功发现并定位多家分之机构网段主机中毒，非法连接外部恶意域名；

2、成功发现亚信安全软件、邮箱通过DNS请求更新病毒库或升级软件；

3、联通运营商疑似DNS被劫持。

典型算法模型介绍--（用户业务异常行为监测） icon

UEBA主要功能介绍/风险评分和画像展示 icon

UEBA具备形成用户、设备、数据等画像的能力，并可通过关联多类画像分析特定场景，如：分析用户通过什么设备访问那些数据。同时系统能够通过评分算法对各类画像进行风险评分，从而量化风险。

用户画像

用户画像包括了用户风险评分、用户基础信息、用户相关异常及威胁、用户内部/外部风险及详情等信息。

设备画像

设备画像包括了设备风险评分、设备信息、设备相关异常及威胁、设备数据传输情况、设备用户登陆情况等信息。

数据画像

数据画像包括了数据风险评分、数据相关异常及威胁、数据访问情况、数据访问趋势、数据风险趋势等信息。

安全编排自动化与响应 icon

数据源接入：支持SIEM类/SOC系统的安全事件接入

操作原子化：通过应用、实例、服务将能力原子化，并梳理能力台账

剧本编排：通过拖拽式、可视化编排，调用原子能力，设计场景化剧本

案件处置：根据事件触发，绑定剧本，生成案件，自动化执行剧本

联动处置：支持自动化处置，包括通知、封堵、黑名单、通报等。

安全编排自动化与响应价值 icon

安全策略体系化

根据组织目标和各部门职能规划安全策略，将安全策略分解固化为可执行的预案，通过标准化运营流程数字化管理整。

安全运营流程标准化

将公司的安全运营流程数字化管理起来，每一次安全事件的对应处置过程都在统一标准，统一框架下执行，有迹可循。

缩短响应时间

通过自动化技术，尽可能多的自动完成一个安全事件处置流程中相关步骤，从而缩短响应时间即MTT。

提升运营效率和效果

让安全专家从繁重的重复劳动中释放出来，将时间放在更有价值的安全分析、威胁猎捕流程建立等工作上。

运营流程指标可管理

通过预案执行的标准化的运营流程更方便数字化管理，运营的KPI指标可评估、可度量可追踪。

安全运营 - 如何把平台真正用起来？ icon

安全运营核心围绕 (技术、流程、人员)，通过系统与服务将上述三点结合起来如下：

安全运营--安全事件归一降噪 icon

在海量的日志中，通过数据分析关联不断降噪、逐步筛选&过滤，最终聚焦在关键事件。

安全运营--异常告警研判 icon

根据既存的威胁建模 (场景) 检测出告警内容，并根据威胁行为与目标源的业务状态，进行综合关联分析，评估影响程度，向用户输出完整的报告 (包含威胁各攻杀阶段)。

安全运营 -- 自动化/人工处置响应 icon

SOAR技术应用至事件检测-分析-调度-处置各流程来缩短处置时长，提高效率。

典型部署方式1

观安观鉴态势感知平台，包括采集组件，流量采集器和态势感知管理台。数据采集代理通过syslog、kafka等方式采集各类业务系统日志和安全设备日志；流量采集器一般旁路部署与核心交换机或者网络出口，通过镜像流量的方式采集流量信息并进行解析和初步的规则分析；针对大型用户，态势感知平台采用集群模式部署，包括计算集群，存储集群，对日志和流量信息进行大数据关联分析。

典型部署方式2

观安观鉴态势感知平台，包括采集组件，流量采集器和态势感知管理台。数据采集代理通过syslog、kafka等方式采集各类业务系统日志和安全设备日志；流量采集器一般旁路部署与核心交换机或者网络出口，通过镜像流量的方式采集流量信息并进行解析和初步的规则分析；针对中小型用户，态势。

产品经典成功案例

项目背景
依据中国移动“力量大厦”的网络强国、数字中国智慧社会主力军的总体目标，适应与业务系统IT架构同步演进的需要，不断提升全网安全防护与运营管理能力。以《IT领域安全能力发展规划2021-2025》为指导，进一步推进“两中台+七能力”新代发展模式通过七大关键能力的建设，增强新IT架构下全网安全监测向智能化、高效化、弹性化、实战化路线进行发展。

解决方案
· 建立统一数据采集标准，减少不同厂商、设备之间的数据转换工作

· 建设大数据分析系统，通过安全日志规则分析、聚类分析和关联分析，洞察全网安全隐患并快速定位，对态势发展情况进行趋势预测

· 建设统一安全威胁联动处置系统，可根据运维要求实现日常监控和重大活动保障，一键切换功能，日常告警保证同类型告警的归并降频，提高监控运维效率

· 建立全网数据可视化系统，可基于不同角度进行全网数据展示。

客户需求

· 数据接入标准建立；
· 安全大数据收集分析、态势分析呈现；
· 集团全局监控安全态势；
· 安全事件通报流程与快速应急处置流程监管；

· 降低安全运维难度，提高安全人员工作效率。

项目成效

总览全局，实现集团内部的安全态势全面感知，帮助运维人员更好地进行网络安全管理工作，充分发挥集团总部的枢纽作用，针对重大的安全事件迅速做出决策，智慧管理简化安全工作，提高安全人员效率。

产品经典成功案例

项目背景
证券公司作为金融市场的核心，处理大量敏感金融数据和交易信息，因此成为网络攻击的主要目标。建设网络安全态势感知项目对证券公司来说具有极其重要的背景和必要性。态势感知项目提供全面的网络安全监控解决方案、系统日志、用户行为等数据，帮助公司及时发现潜在的安全威胁和异常行为。

客户需求

· 网络资产庞大，安全类、主机类、流量以及运维类的告警数据均由各自系统独立存储，无统一接收存储系统
· 海量安全告警、安全事件日志，各系统独自为战无法形成有效的关联
· 公司网络安全风险不可控、整体安全趋势不可知

· 安全事件通报流程与快速应急处置流程监管缺少对敏感操作人员的监控。

解决方案

· 通过搭建基于大数据技术的统一日志搜集和分析平台，利用日志收集和分析技术，对接VPN日志、堡垒机日志、客户端日志、数据库操作日志、NDLP日志、网络异常行为监控日志等，运用规则分析、机器学习以及威胁情报碰撞等分析手段。
· 感知公司内外部的安全威胁，并为网络安全事件的处理提供研判、追溯数据支撑，满足公司合规要求，支撑和保障公司信息系统和业务安全稳定运行。

项目成效
· 统一日志数据采集，并通过大数据关联分析技术发现黑客攻击链轨迹
· 为运维工作提供数据支撑、为领导层安全决策提供数据支持
· 关联威胁情报，对攻击者进行溯源
· 可对敏感人员操作行为进行有效监控，及时阻止非法操作

· 满足监管单位的监管要求