长按二维码关注
腾讯安全威胁情报中心
前面我们已经谈了腾讯安全系列产品的雷达·高级威胁检测系统、导弹防御系统·网络入侵防护系统,以及与恶意入侵行为帖身近战的入侵检测网·腾讯零信任iOA系统。基本介绍了企业应对黑客攻击由远及近的防护体系,如何将企业各个独立运行的防护子系统构成一个完整统一的体系,发挥1+1>2的效能,企业安全运维团队迫切需要一个指挥中枢系统,腾讯安全运营中心(SOC)承担了这一角色。
腾讯安全防御武器库系列·腾讯安全运营中心(SOC)
腾讯安全运营中心(SOC)是为企业客户提供统一的安全管理平台,通过这个平台,协调管理企业现有的安全防护产品和团队,结合腾讯威胁情报数据,实现对威胁事件日志收集、威胁检测事件告警、威胁事件关联分析、对威胁事件及时处置等一系列安全响应活动的有效管理调度,输出3D可视化的管理界面,为企业安全管理层提供决策参考。
简单一句话,腾讯安全运营中心(SOC),就是承担企业网络安全战役的指挥中枢系统。
腾讯SOC典型应用场景
腾讯安全运营中心(SOC)实战案例
资产安全现状调查
腾讯安全专家团队服务于某重保客户,通过腾讯安全运营中心(SOC)对全网资产进行摸底调查,结果盘点出若干台未落实到人不知具体归属的服务器资源,而因为无人管理,该服务器上检测到多个高危漏洞。在重保实战开场前,腾讯SOC已立下头功。
捕获处置钓鱼邮件攻击事件
在某重保客户使用场景,腾讯零信任iOA捕获到有针对性的钓鱼邮件攻击活动,零信任iOA的相关进程告警数据会上报至腾讯SOC数据中心,SOC会汇总全网各个节点的威胁告警数据并对数据进行分析处理,最终这起钓鱼邮件攻击事件的完整脉络会呈现在SOC管理界面。
告警信息显示某台电脑通过outlook启动了一个7zfm.exe进程解压出一个可疑exe运行,随后该可疑exe有外链行为。安全运维人员判断这是一起高风险的疑似攻击活动,相关可疑文件被迅速提交腾讯安全驻场专家分析鉴定,结果判定为某个远控后门程序。管理员随后通过腾讯SOC联动腾讯天幕(NIPS)处置,将危险外联IP全网封禁,腾讯零信任iOA也顺利完成恶意程序清除。事件通过腾讯SOC的指挥调度,完成威胁发现、检测、鉴定、处置闭环。
其他应用场景
重保客户安全运维管理团队通过安全运营中心可视化大屏轮播的企业资产现状、脆弱性态势、威胁态势、攻击态势、流量态势、租户态势等数据输出时刻掌握战场整体状况。根据现场展示的漏洞态势和攻击事件列表,采取必要的处置措施修复漏洞,调查处置威胁事件。在该重保单位,腾讯安全各个安全子系列在腾讯安全运营中心平台集中管控下各司其职,协同工作,整个体系的能力顺利打通。
腾讯高级威胁检测系统(NTA,御界)、腾讯零信任iOA、腾讯天幕(NIPS),分别从流量检测分析、终端安全保护、网络边界封堵,以腾讯安全威胁情报为安全服务中台,各产品有机衔接,在极短时间内响应最新威胁,对重点事件深入分析进行威胁溯源,打造重保企业安全威胁事件响应处置闭环。
重保服务期间,腾讯安全上线TSRC威胁信息共享计划,联合100+以上的企业共享最新威胁情报数据,累计共享可封禁IOC 10066个,情报侧漏洞共享84个,拦截攻击超10亿次,完成超过3万个IP的去误报服务,受到共享情报参与单位的一致好评。
腾讯安全运营中心(SOC)的核心能力
1.安全信息数据协作统管
SOC为客户提供安全数据和信息集中统一管理平台,包含安全设备告警日志、系统日志、网络流量,并从以上数据中发现潜在风险资产、未被监管资产。系统预制近300种主流设备解析策略,同时支持个性化数据自定义解析策略。帮助用户高效地与各类型安全设备协同,集中进行安全监测、分析和处置响应,实战过程all in one。
2.多源数据关联分析能力
内置400余条安全告警关联分析规则,并支持用户基于业务场景自定义规则。支持将多源事件关联分析,并可关联资产信息找的高价值告警。支持引用其他规则结果实现复杂场景的关联。
3.用户实体行为分析(UEBA)
UEBA行为异常分析引擎,对组织人员、实体进行持续学习分析获得行为基线,来发现其偏离个体或群体正常基线的异常、风险行为。通过对异常、风险行为分析,对用户和实体进行画像,累计获得风险得分,针对高风险行为用户或实体优先进行处置,提升安全运营人员分析研判效率。SOC预定义9大场景、26个细分子类异常检测场景。
4.安全编排自动化与响应(SOAR)
SOAR是一系列技术的合集,能够帮助企业收集安全运营团队监控到的各种信息(包括各种安全系统产生的告警),并对这些信息进行事件分析和告警处置,可以将SOAR理解成处置特定威胁事件的一系列检查、恢复流程清单。SOAR 通过编排和执行安全剧本的方式,完成原来需要多人力多系统多界面协同才能处置的安全任务,可大幅节约响应时间,降低人员依赖,提高工作效率,保障应急处置质量。
5.通过腾讯天幕(NIPS)联动处置威胁
依靠旁路部署实现旁路阻断封禁威胁IP,提供阻断API与腾讯天幕(NIPS)进行联动,实现安全威胁的闭环处置,帮助客户在不影响业务的情况下快速封禁和阻断。
6. 风险量化安全态势可视
SOC的安全BI能力(商业智能)支持安全分析人员创建监测仪表板,针对特定安全数据、场景进行可视化实时监控。SOC报表为安全管理人员提供统计分析工具,周期性输出安全运营各维度指标,为其对安全人员、运营和流程的管理优化提供支撑。SOC的态势大屏为安全管理领导层宏观呈现全局安全态势,为其对业务安全的持续改进和决策提供全局视角。
点击阅读原文,了解腾讯安全运营中心(SOC)的更多信息。
参考链接:
腾讯安全防守队武器库系列(一):雷达篇
腾讯安全防守队武器库系列(二):陆基导弹防御系统篇
腾讯安全防守队武器库系列(三):入侵检测网篇
关于腾讯安全威胁情报中心
腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。
长按二维码关注
腾讯安全威胁情报中心
本文始发于微信公众号(腾讯安全威胁情报中心):腾讯安全防守队武器库系列(四):指挥中枢篇
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论