安全运营中心SOC网络安全指标与事件表
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
天 每增加一次扣0.2分
天
3个月历史平均值为3分, 次数+1%分数-0.1,次数-1%分数+0.1
天
3个月历史平均值为3分, 次数+1%分数-0.1,次数-1%分数+0.1
天 发生即从3分开始,每增加一次扣0.3分
天 发生即从4分开始,每增加一个账号扣0.2
计数 计数 计数 计数
访问经销商门户网站返回 403错误总 每1分钟内同一账号登陆失 败超过15次即为1次 账号登陆失败频率达到4秒/ 次以上,次数超过15次后, 成功登陆
10% 每月第一周统计上月补丁情况
20% 排除扫描主机,来自IPS日志
15% 来自IPS日志 15%
15% 需要白名单支持
15% 20% 来自IPS日志 45% 55% 15% 来自Websense日志,下同
15%
15%
10%
15%
30% 35% 35% 30%
重要数据高风险 操作 (NetApp)
数据外发
数据拷贝到移动 介质 数据打印
内部员工发邮件给竞争对手次数 内部员工将核心商密发邮件给第三方 (合作伙伴邮箱除外)次数 重要数据发邮件到私人邮箱次数 通过FTP、P2P、QQ等协议传输重要数据 到外网次数 将文件存储到外部网盘或公众论坛次数
光盘刻录重要数据次数
月 100%-5分;70%-0分,区域分值平均分配
月 100%-5分;70%-0分,区域分值平均分配
月
月
月 100%-5分;0%-0分,区域分值平均分配
天 发生即从2分开始,每增加一台主机扣1分
天 发现即从4分开始,每增加一次扣0.1分 天 发现即从3分开始,每增加一次扣0.3分
天 发现即从3分开始,每增加一次扣0.4分
例如:rm -rf,fork炸弹,>/dev/sda,mv 文
25%
件夹/dev/null, wget malicious |sh, mkfs.ext3/dev/sda, >file,ຫໍສະໝຸດ URL dd-o-
if=/dev/random of=/dev/sda等
35%
30%
35%
55%
需要展示系统名称、IP地址、备份策略、备 份结果
邮件服务器遭受邮件炸次数弹 邮件服务器拦截邮件次数异常 垃圾邮件比例
统计方法 计数 计数 计数
统计 频率
分值计算(分值范围0-5)
天
3个月历史平均值为3分, 次数+1%分数-0.1,次数-1%分数+0.1
天
3个月历史平均值为3分, 次数+1%分数-0.1,次数-1%分数+0.1
天 发生即从3分开始,每增加一次件扣0.5分
计数
计数
计数
业务部门员工对服务器区使 用telnet、ssh、rdp命令
计数
同一终端10分钟内超过5次 准入失败即为1次
主机计数
计数
成功关闭/总数量
计数
计数
同一个账号1分钟内超过40 个外部网站请求即为1次
计数
计数
计数
访问成功即为1次
天
3个月历史平均值为3分, 次数+1%分数-0.1,次数-1%分数+0.1
天 发现即从4分开始,每增加一次扣0.1分
天 发生即从2分开始,每增加一台主机扣1分
天
每个事件一级扣2分,二级扣0.5分,三级 扣0.2分
天 100%-5分;0%-0分,区域分值平均分配
天
3个月历史平均值为3分, 次数+1%分数-0.1,次数-1%分数+0.1
天
3个月历史平均值为3分, 次数+1%分数-0.1,次数-1%分数+0.1
网络安全 (Paloalto、 Checkpoint)
事件处理状态
非授权网络接入 内部发起DOS攻击 事件触发总数 事件关闭率 使用非法代理服务器
非人为互联网访问请求
互联网访问
可执行文件下载 行为管理阻止网页访问
访问有安全隐患的网站
互联网访问
僵尸主机通信
邮件系统安全 (Trendmicro)
邮件系统安全
一级控制域 二级控制项 三级控制项
详细指标
账号提权次数
操作行为管理 (WSUS、 Websense)
修改系统安全配置次数
重要应用系统操 作
停用审计日志次数
高风险操作次数
重要文件删除次数 文件服务器操作 大量文件删除操作数
大规模文件修改数
操作安全
备份管理 (Commvalt)
恶意软件防护 (McAfee)
主机计数
同一病毒闭环转播
主机计数
同一病毒重复感染同一主机
主机计数
同一病毒一天内感染主机超 过30台
计数
成功关闭/总数量
每10分钟内,同一账号在超
计数
过4个办公终端IP登陆成功
即为1次;公共账号除外
计数
帐号创建后1小时内删除
计数
计数 账号计数
一天内同一个帐号密码更改 超过5次 2小时内同一账号在不同地 理国家登陆 登陆5分钟内登出即为1次
天 100%-5分;0%-0分,区域分值平均分配
成功数量/总数量
天 100%-5分;0%-0分,区域分值平均分配
成功数量/总数量
正常运行客户端/
总客户端数量
更新客户端数量/
总客户端数量
成功数量/总数量
成功数量/总数量
计数
计数
主机计数
同一主机一天内受感染文件 超过30个
主机计数
同一主机一天内同一个病毒 受感染文件超过30个
计数
计数
计数
计数
计数
计数
计数
计数
过往3个月打印总数日均值 为基数,超出20%为异常
成功部署/高风险
补丁总数
未成功数量/3个
月中风险补丁总
计数
过往3个月同一个补丁都记 录为失败的补丁为重复部署
主机计数
过往3个月同一个补丁都记 录为失败的补丁为重复部署
成功部署/补丁总
数
主机计数
内网发起的端口扫描、应用 扫描、数据库扫描等
A类系统备份成功率
备份成功率
B类系统备份成功率
C类系统备份成功率
防病毒系统正常运行率
防病毒系统运行
状态
病毒库更新率
定期扫描完成率
恶意软件自动处 理状态
病毒处理成功率 未成功处理病毒次数 病毒传播数量
主机被病毒大规模感染
病毒感染情况
主机被特定病毒大规模感染
主机被病毒交叉感染 主机重复感染同一病毒
局域网中病毒大规模爆发
天
3个月历史平均值为3分, 次数+1%分数-0.1,次数-1%分数+0.1
天 发生即从3分开始,每增加一次扣0.3分
天 发生即从2分开始,每增加一次扣1分 天 发生即从3分开始,每增加一次扣0.2分 天 发生即从3分开始,每增加一次扣0.2分 天 发生即从3分开始,每增加一次扣0.2分 天 发生即从3分开始,每增加一次扣0.2分 天 每增加一次扣0.2分 天 发生即从3分开始,每增加一次扣0.2分 天 每增加一次扣0.2分 天 发生即从3分开始,每增加一次扣0.2分
20% 来自IAM日志 35%
45%
来自HDLP日志
25% 来自HDLP日志,下同
25%
25%
25%
50%
50% 50%
50%
35%
每月第一周统计上月补丁情况;高风险补丁 清单需外部输入
25% 每月第一周统计2个月前补丁情况
15% 每月第一周统计前三个月补丁失败情况
15% 每月第一周统计前三个月补丁失败情况
天
3个月历史平均值为3分, 次数+1%分数-0.1,次数-1%分数+0.1
天
3个月历史平均值为3分, 次数+1%分数-0.1,次数-1%分数+0.1
天
3个月历史平均值为3分, 次数+1%分数-0.1,次数-1%分数+0.1
计数
计数
计数
过往3个月拦截总数日均值 为基数,超出20%为异常
垃圾邮件数/总邮
件数
天
3个月历史平均值为3分, 次数+1%分数-0.1,次数-1%分数+0.1
天
3个月历史平均值为3分, 次数+1%分数-0.1,次数-1%分数+0.1
发现即从3分开始,相差每增加10%扣0.1分
天
3个月历史平均值为3分, 次数+1%分数-0.1,次数-1%分数+0.1
权重 系数
25%
备注
25%
25%
天 100%-5分;0%-0分,区域分值平均分配
天 100%-5分;0%-0分,区域分值平均分配
天 100%-5分;0%-0分,区域分值平均分配
周 100%-5分;0%-0分,区域分值平均分配
天 100%-5分;0%-0分,区域分值平均分配
天 发生即从3分开始,每增加一次扣0.2分
天 发生即从3分开始,每增加一次扣0.2分
计数
天
3个月历史平均值为3分, 次数+1%分数-0.1,次数-1%分数+0.1
计数 计数
计数
1分钟内同一账号删除文件 数量超过50个 1分钟内同一账号修改文件 数量超过30个
成功数量/总数量
天 发生即从3分开始,每增加10个文件扣0.5
天
发生即从3分开始,每增加10个文件扣0.1 分
天
发生即从3分开始,每增加10个文件扣0.2 分
重要数据拷贝到U盘次数 打印重要数据信息资产次数
重要数据打印量异常次数
高风险补丁部署成功率
补丁管理 (WSUS)
超过2个月中高风险补丁部署成功率
Windows补丁管 理
3个月重复部署失败补丁数
3个月重复部署失败主机数
总体补丁部署成功率
内部网络安全
内网探测扫描
异常DNS请求 存在多个DHCP服务
非技术部门高风险操作
35%
需要展示系统名称、IP地址、备份策略、备 份结果
10%
需要展示系统名称、IP地址、备份策略、备 份结果
30%
35% 最新病毒定义库-3都属于更新成功
35% 每周五扫描一次 30% 35% 35%
15%
15%
20% 20%
30%
45% 55%
20%
20% 20% 20% 20% 来自Anyoffice日志
天
发生即从3分开始,每增加一台主机扣0.2 分
天
发生即从3分开始,每增加一台主机扣0.2 分
天 发生即从3分开始,每增加一台主机扣0.3
天 发生即从3分开始,每增加一台主机扣0.4
天
发生即从3分开始,每增加一台主机扣0.3 分
天
每个事件一级扣2分,二级扣0.5分,三级 扣0.2分
天 100%-5分;0%-0分,区域分值平均分配
事件处理状态
病毒事件触发总数 事件关闭率
多人复用账号次数
访问控制
账号管理 (AnyOffice、 Checkpoint)
账号异常
账户创建异常次数 密码更改频繁次数 VPN用户登录异常次数 异常登陆登出账号数
访问控制 资产管理 通信安全
疑似绕过认证访问经销商门户
访问行为管理 (AD域)
异常访问行为 账号遭疑似暴力破解次数 账号遭疑似暴力破解后成功登陆次数