产品功能
1、安全态势(大屏)
提供超过5种面向不同安全场景的态势监控界面,包括:综合态势、攻击态势、威胁态势、资产态势、用户态势等;
2、安全分析
提供针对所有数据,如流量、事件、日志等的多维度全方面分析,分析模式包括聚类、关联、序列化、特征、规则等。在此基础上,安全分析人员可以作为依据寻找攻击者在内网留下的痕迹,对攻击进行溯源和判断,并按照时间维度呈现出攻击证据链。
典型分析如下:
3、异常行为分析
安数云态势感知系统平台提供了基于实际安全场景的多维度异常检测功能,其内置的UBA模块可对企业环境里的行为数据在分钟内完成分析。
主要包括:
用户行为画像;
行为可视化,方便客户迅速掌握行为变化趋势;
结合外部威胁情报进行分析;
发现异常行为后进行预警。
4、日志报表
主要包括日志、报表两个模块。
(1)日志模块可按照多种查询条件进行查询,包括发生时间、事件名称、协议、安全分类、源IP、目的IP、日志内容等;同时支持按告警类型、告警阶段就行分类查询统计。
(2)报表模块系统内置了多种模板,如告警统计、告警趋势、告警级别分布等,满足用户对报表的使用要求。报表支持定时生成、邮件送达等服务。
5、资产管理
资产是攻击者的目标,也是安全防护的核心所在。系统实现对信息化环境中的信息资产进行自动发现,所有资产由资产库统一管理,可以自动识别或者自定义资产属性、进行分类、分组、权限资产管理。同时实现网络拓扑管理,展示资产所在地理区域以及业务区域。
6、高级设置
主要包括数据采集器、数据解析规则、数据分析规则等功能。
(1)数据采集器为数据来源,系统可以通过多种采集方式对多样化的数据源进行采集。采集方式包括但不限于镜像流量、NetFlow、Syslog、FTP、SNMPTrap、文件、WMI、JDBC、WebService、Agent等;采集数据源包括但不限于信息化资产相关数据(如网络资产信息、存储资产数据、终端资产数据、服务资产数据等)、信息化周边数据(如组织架构情况、人员相关信息、安全域信息、安全账号等)、网络行为数据(如网络流量、日志数据)、网络安全统计数据(如防火墙防护数据、WAF防护数据、终端准入防护数据等)、威胁情报数据(如恶意域名、恶意URL、恶意IP、DNS解析库、恶意代码等)。与此同时,系统实现对信息安全环境下的威胁情报进行采集,采集包括漏洞信息、攻击事件信息、病毒查杀结果信息、异常行为信息、可疑事件信息等。
(2)数据解析规则针对不同资产定制不同的解析规则,以便将原始数据转化为系统内部可识别的数据。解析规则支持自定义。
(3)数据分析规则内置了大量的模板,可将解析后的数据进行聚类、关联、序列化等分析。分析规则支持自定义。
7、系统管理
提供基本的用户管理、安全性设置以及系统运行状态查看等功能。
(1)用户管理模块对用户设置不同的权限,以确定其在态势感知系统中的角色。
(2)安全性设置包括:IP访问限制、密码策略、登录锁定等等。
(3)系统运行状态:可展示系统的运行状态以及管理员的操作情况。
产品部署
1、硬件要求
2、单系统部署
对于网络规模较小的信息环境下,可以进行单系统部署。单系统部署时提供安装包一键安装。
3、分布式部署
当网络规模较大,或包含多级网络环境时,建议进行分布式部署。分布式部署多括一套管理平台、多个Elasticsearch节点。
1 review for Cisco