XX单位信息安全管理平台建设解决方案
4.4.3 工单管理
SecFox-SIM工单管理参照ISO17799、 ISO20000(ITIL规范),以及ISO18044,为安全管理人员建立了一套安全事故处理流程。通过工单,实现了安全事故记录从创建、处理到关闭的安全事故生命周期管理。
工单管理是SecFox-SIM的核心流程,它的功能实现遵循ISO18044标准和ISO20000标准(ITIL)。处理过程中,派单人和责任人可以对现象描述、原因分析、处理意见、处理结果中增加内容,但不能修改以前人输入的内容。系统需记录增加的时间和增加人。在显示工单时,会显示所有的修改记录。
管理员在创建工单后,可以由系统自动发送邮件给指定的工单处理人,提醒其及时处理。
4.4.4 事件分析
事件分析是SecFox-SIM的核心,监控管理人员可以通过事件分析对来自企业和组织所有的事件,以及经过SecFox-SIM规则关联后产生的事件进行可视化实时分析、历史分析和事件统计,从而快速识别安全事故。SecFox-SIM采用基于场景的行为分析(Scenario-based Behavior Analysis)技术,将所有的事件分析都以分析场景的方式列举出来,管理人员可以方便的在各种分析场景之间快速切换,就像切换电视频道一样,大大提高分析工作的效率。
针对每个场景,系统都会实时展示出该场景的事件列表,并且附上一副事件的动态雷达图(Dynamic Radar Diagram)。用户可以实时观察某个事件切片内的事件数量及其不同等级事件的时间分布。点击每个时间切片上的事件方块,可以查看该时切片的事件明细。
对于发现的攻击和威胁,用户可以借助SecFox-SIM的iGPS事件全球定位系统在世界地图上可视化地展示出发起和遭受攻击IP的所在地理位置。
用户也可以对选中的事件生成可视化的实时主动事件图(Active Incident Diagram),形象地观测到当前事件的安全态势。用户点击主动事件图上的IP节点,可以查看该节点的明细信息,点击节点之间的连线可以查看事件的端口、协议等信息。主动事件图可以放大、缩小、自由拖动。
安全源于管理 管理驱动安全 第 20页 共29页
XX单位信息安全管理平台建设解决方案
在事件分析中,SecFox-SIM还为用户提供了一套进行深入的审计与追踪工具——事件调查工具。借助网御神州独有的启发式事件搜索技术(Heuristic Event Searching Technology),管理员通过事件调查工具可以对某条感兴趣的事件中的源IP地址、目的IP地址、或者目的端口进行相关性事件检索。例如,管理员通过审计某条事件记录发现某用户违规访问一个敏感的外部IP地址,那么管理员可以通过事件调查工具查找最近5分钟内访问同一个敏感外部IP的其它用户的事件记录,从而追踪违规行为;管理员也可以查找某个事件记录中目的端口的含义,是MSN端口?还是BT端口?抑或是蠕虫端口?等等,从而快速了解当前用户的行为特征。
4.4.5 趋势分析
SecFox-SIM可以对设备的网络连接数、网络流量,以及时间数量等的趋势进行分析,并以图标的形式展示。
趋势分析的时间段可以动态调整,包括最近24小时、最近1天、最近1周,等等,用户亦可自行设置。
安全源于管理 管理驱动安全 第 21页 共29页
XX单位信息安全管理平台建设解决方案
4.4.6 报表管理
安全管理人员可以将事件分析的结果生成报表,作为工作内容汇报的一部分提交给相关部门。
SecFox-SIM将报表分为系统预定义报表和用户自定义报表两大类。 SecFox-SIM内置大量预定义报表,例如:
? 当天,当月,该季度,该年度的出现率最多的十种安全事件统计分
析报表,既能够图文并茂地显示着十种安全事件的统计值,也能够选择察看具体的安全事件明细表;
? 当天,当月,该季度,该年度的出现率最多的十个源IP地址统计
分析报表,既能够图文并茂地显示着十个源IP地址的统计值,也能够选择察看出现该IP地址的具体的事件内容;
? 每月,每周事件告警严重程度级别趋势表,分类统计每个月所有的
安全事件的严重程度级别,察看其发展趋势;
? 每天的安全事件统计表,统计每一天的所有安全事件发生的总数; ? 可以指定源IP,目的IP,源端口,目的端口一项或者几项内容制
作出对应安全事件的详细报表。
? 每天,每周,每月出现最多的十种病毒统计分析报表; ? 每天,每周,每月的事故统计报表;
安全源于管理 管理驱动安全 第 22页 共29页
XX单位信息安全管理平台建设解决方案
? 每天,每周,每月的各种安全状况的总览表,在一张报表上图文并
茂地展示这一天,这一周,或者这个月的,全网的安全状况的多种指标统计和趋势图表。
? SecFox-SIM具备强大的自定义报表功能。用户可以通过报表编辑
器,只需4步,即可方便地自己定义各种复杂的报表,包括报表的内容、布局,以及运行调度设置,满足企业和组织自身不断业务发展的需要。
4.4.7 知识管理
SecFox-SIM知识管理为用户提供了一套面向业务的管理工具,方便用户进行安全事件的识别和应急响应处理。SecFox-SIM知识管理包括黑白名单管理和案例管理。
安全源于管理 管理驱动安全 第 23页 共29页
XX单位信息安全管理平台建设解决方案
? 黑白名单管理
黑白名单,是指需要格外关注的事件属性,比如某黑白名单定义为某些符合规则条件的事件的某个属性的列表。
黑白名单是一个非常灵活的信息收集工具,它可以基于事件属性的任意组合或自定义字段组监控活动,而不仅仅是IP地址。在记录可疑的或恶意的IP地址以及有可能已被攻击成功的目标方面,黑白名单非常有用。
用户可以手动增加黑白名单的内容,也可以通过规则响应动态地增加或删除黑白名单中的记录。例如,我们在发现一个恶意攻击之后,可以将攻击源添加到恶意列表中,并在以后严密监控该 IP 的各种行为。
SecFox-SIM包含了大量预定义的黑白名单列表,比如恶意列表、可疑列表、受信任的列表、不受信任的列表、受威胁列表等等,用户可以把它们作为模板使用。
? 案例管理
案例是由一组相关事件组成的有意义的、值得借鉴的情景,用于安全信息管理经验和知识的积累。
通过将安全信息管理运维过程中遇到的具有典型性的事件放入案例库中,并记录下当时事故的影响情况、采取的安全处理措施,为将来遇到类似事故提供辅助策略的依据。
4.4.8 系统管理
4.4.8.1 系统配置
SecFox-SIM的系统管理员可以通过系统管理中的系统配置对SecFox-SIM系统自身进行各种参数配置,包括数据的备份与恢复、系统自身运行状态的监控,等等;通过系统管理中的事件传感器管理连接到SecFox-SIM平台的事件传感器;在系统管理中还有过滤器和资源定义模块。
事件传感器是SecFox-SIM提供的、用于安装在企业和组织网络中的目标主机上的应用程序。通过事件传感器,SecFox-SIM可以主动地采集目标主机上的事件,在管理服务器上进行事件分析。
安全源于管理 管理驱动安全 第 24页 共29页