跟迪普的工程师去中国邮政上架了态势感知,不能白去,总结一下吧!
态势感知的作用?
态势感知平台定位为客户的安全大脑,是一个检测、预警、响应处置的大数据安全分析平台。其以全流量分析为核心,结合威胁情报、行为分析建模、UEBA、失陷主机检测、图关联分析、机器学习、大数据关联分析、可视化等技术,对全网流量实现全网业务可视化、威胁可视化、攻击与可疑流量可视化等,帮助客户在高级威胁入侵之后,损失发生之前及时发现威胁。
下面以深信服为例,(各个厂商差别不大)
为什么企业要上架态势感知类的设备呢?
安全现状:
传统安全防护体系问题:三个不知道
等保2.0强制要求
信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
8.1.3.3 入侵防范(第三级安全通用要求) 本项要求包括:
c) 应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;
在对应《测评要求》中要求部署抗APT攻击系统、网络回溯系统和威胁情报检测系统或相关组件,并验证是否对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析。
分析类的设备,是等保三级以上必备的,因此各个厂商通常都有相关的设备,既使现在没有的,正在抓紧研发。比如DP,截止2019年6月28日,DP的态势感知已经能初步部署上线,后面可能就要全线推广了。
产品价值:
台定位为客户的安全大脑,是一个检测、预警、响应处置的大数据安全分析平台。其以全流量分析为核心,结合威胁情报、行为分析建模、UEBA、失陷主机检测、图关联分析、机器学习、大数据关联分析、可视化等技术,对全网流量实现全网业务可视化、威胁可视化、攻击与可疑流量可视化等,帮助客户在高级威胁入侵之后,损失发生之前及时发现威胁。
解决方案:
技术优势(各个厂商差不多,下面以深信服为例):
关于迪普的态势感知
迪普的态势感知是两个一模一样的设备,如下图所示:
这并不是双机热备,而是一个探针,一个分析平台,探针负责被动收集数据包,肯定是通过端口镜像收集的。而分析平台负责分析和展示,硬件是一模一样的,只不过安装的系统不一样,探针的作用快速稳定的保存数据包,而分析平台的作用来分析展示。
探针和分析平台都是基于centos7系统做的二次开发,分析平台的分析能力是建立在ansible这个框架之上的。
迪普的设备是分成探针和分析平台两部分,有的厂商是把探针和分析平台集成到一起了。
迪普的的态势感知是B/S架构,浏览器登录之后F11全屏即是下面的效果:
(上图不是迪普设备,而是与之差不多的厂商的)
迪普态势感知如何安装系统呢?
插入系统U盘---重启---按F11--进入开机启动项,选择下图中的第四项:Gerneric flash disk 8.07进行安装。
产品成熟了之后,系统肯定是安装好的,以后在线长级就行了。
态势感知如何部署呢?
部署非常的简单!
- 通过镜像端口将数据引入到探针
- 探针连入分析平台,探针初步分析之后,再将分析后的结果再交由平台分析并展示。