内网态势感知技术服务

2021-09-16 16:09:34 启动互联 4

为校园建设提供内网安全态势感知综合分析服务,配备专业设备或软件,如APT、流量采集探针、安全管理中心、安全态势综合分析平台等,通过采集学校全流量数据(瞬时流量不低于20G)、日志数据、并结合第三方威胁情报,进行综合分析。服务内容包括安全事件定位取证,黑客攻击溯源分析,内外部威胁、失陷主机、攻击手段排行等。按月提供分析报告。
   1)态势感知分析平台支持接入多种类型探针,如流量采集探针、APT探针、日志采集探针(日志采集方式应支持但不仅限于Syslog、kafka、ftp、部署代理等4种方式),数据处理性能≥10000EPS,每条数据>1KB,支持接入的流量采集探针数量不少于两台,支持接入的APT探针不少于两台。
   2)态势感知分析平台应支持不少于8种的机器学习分析场景模型,可检测发现勒索挖矿告警数异常、安全设备日志数异常、网络会话数异常、域名请求数异常等特定场景条件下的安全态势异常。
   3)提供资产发现服务,通过对采集到的校内流量进行资产发现服务,发现内容包括资产类型、资产指纹信息。资产类型涵盖终端、Web服务器、DNS服务器、邮件服务器、FTP文件服务器、网络设备、安全设备等,支持形成资产类型分布、资产弱点、资产健康度、资产风险分布等分析数据,进行态势展示。
   4)提供威胁情报服务,利用自有威胁情报,结合校内网络流量数据、资产的日志数据,进行综合分析,提高对事件研判的准确性:
       4.1)除自有威胁情报外,还应支持第三方威胁情报和采购人自有威胁情报,支持通过离线导入或手动编辑添加的方式,形成本地威胁情报,允许采购人自建情报库,并实现情报库的增删改查、导入、导出功能。
       4.2)碰撞情报IOC支持通过情报源、IOC类型、标签、置信度等多维度进行碰撞分析,内置威胁情报条数不少于400万条。。
   5)学校网络安全态势可视化展示服务,并利用大屏展示将安全态势进行呈现,大屏的展示内容应包括:外部攻击态势、横向威胁感知、资产失陷态势、web业务系统安全态势攻击者追踪溯源、资产威胁溯源、资产网络链接状态图等。
   6)提供攻击溯源调查取证服务,支持调查场景的四维自定义攻击流向图取证,攻击趋势取证、攻击链分布取证、和实体信息取证,展示攻击者和受害者的威胁情报与资产信息,可联动会话详情,点击查看不同溯源维度的会话详情,通过请求头,payload等详情字段定位攻击。
   为保证安全防护过程的安全可控,使用的专业设备和软件等工具需为具备软件著作权证书或销售许可证的专业产品,不得使用开源工具,如果服务过程中提供的工具无法达到预期效果,需按照用户的要求更换工具。
交付物:《安全风险分析报告》、《攻击排行报告》、《分析取证处置报告》等。

微信公众号

新浪微博

电话咨询
解决方案
购买与服务
QQ客服