TSOC-SA泰合信息安全运营中心系统-日志审计系统V3.0.10.1用户手册

合集下载

信息安全运营中心系统-业务支撑安全管理系统

• 事件采集器（可选）
– 事件采集器可以独立安装部署，或者与性能采集器集成部署，功能同管理中心内置的采集模块，用以辅助管理中心实现分布式事件采集和负载均衡
• 日志代理（可选）
– 对于Windows日志，系统还提供一个单独的Windows日志代理软件，可以安装在Windows系统的主机上，采集Windows系统的日志
5
从传统IT综合管理系统到业务支撑安全管理
四合一的一体化IT运行管理平台
IT综合管理
业务监控
虚拟化监控
安全分析
业务支撑安全
管理
网络管理拓扑发现网络故障链路性能
网络设备监控主机监控数据库监控中间件监控
业务建模业务监控指标业务拓扑业务告警业务故障诊断
VenusTech Confidential
11
管理中心端运行环境
平台
支持的操作系统
Windows – Windows Server 2008 R2
Enterprise
– Windows Server 2003
Enterprise Edition SP2
Linux
– Windows 7 Enterprise – Redhat Enterprise
知识检索案例库漏洞库事件库字典表文档库
VenusTech Confidential
10
系统组成
• 管理中心
– 包括了TSOC的核心功能 – 管理中心内置性能采集模块，具备全部监控功能 – 管理中心内置事件采集模块，具备全部事件采集功能
• 性能采集器（可选）
– 性能采集器可以独立安装部署，或者与事件采集器集成部署，功能同管理中心内置的性能采集模块，用以辅助管理中心实现分布式性能采集与监控

安全运营中心系统安装手册v3.0.8.2(Linux平台) (最终版)

本文档是泰合信息安全运营中心系统的安装手册，本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外,其著作权或其他相关权利均属于启明星辰信息技术股份有限公司。

未经启明星辰信息技术股份有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。

本文档中的信息归启明星辰信息技术股份有限公司所有并受著作权法保护。

“泰合”为启明星辰信息技术股份有限公司的注册商标，不得仿冒。

信息更新本文档及其相关计算机软件程序（以下文中称为“文档”）仅用于为最终用户提供信息，并且随时可由启明星辰信息技术股份有限公司（下称“启明星辰”）更改或撤回。

免责声明本文档依据现有信息制作，其内容如有更改，恕不另行通知。

启明星辰信息技术股份有限公司可能已经拥有或正在申请与本文档主题相关的各项专利。

提供本文档并不表示授权您使用这些专利。

您可将许可权查询资料用书面方式寄往启明星辰信息技术股份有限公司（地址）。

启明星辰信息技术股份有限公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但启明星辰信息技术股份有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。

出版时间本文档于2010年3月由启明星辰信息技术股份有限公司编写。

目录1.安装环境要求 (5)1.1.服务器端 (5)1.2.客户端 (6)1.3.安装环境搭建 (6)1.3.1.安装 Oracle (6)1.3.2.安装JAVA环境（J2SDK） (7)1.3.3.安装WebServer(TOMCAT) (7)2.用户管理安装指南 (8)2.1.安装前的准备 (8)2.2.用户管理的安装 (9)2.3.用户管理的卸载 (12)3.安全管理中心的安装指南 (15)3.1.安装前的准备 (15)3.2.安全管理中心的安装 (15)3.3.安全管理中心的卸载 (20)4.配置数据库 (23)5.导入许可证 (28)6.服务的启动停止 (31)附录1：配置支持SSL的方法 (32)¾配置Tomcat支持SSL方法 (32)¾配置JAVA环境支持SSL (33)附录2：安装ＯＤＢＣ驱动 (36)1.安装环境要求1.1.服务器端¾Linux平台硬件环境处理器： Intel X86系列或兼容CPU最低PIV 2.0GHz或相当推荐Xeon 2.0GHz * 2或相当内存：最低2GB，推荐4GB硬盘：最低IDE 80G * 1，推荐SCSI 72GB * 2网卡：最低10/100自适应网卡 * 1注意：1.如与其他系统公用硬件系统则需要考虑额外的处理能力2.请确保安装泰合信息安全运营中心系统的硬盘分区有4G以上的可用磁盘空间3.请确保安装数据库服务器的硬盘分区有10G以上的可用磁盘空间¾Linux软件环境操作系统：Redhat Enterprise Linux Advanced Server 4.0Java环境：j2sdk 1.5WEB服务器：Tomcat 5.5.2×数据库：ORACAL 9i server 或 ORACAL 10g server注意：1.软件环境的安装步骤请严格遵循下列顺序：(1)ORACAL数据库（至少安装客户端）(2)J2sdk 1.5(3)Tomcat 5.5.2×2.ORACLE数据库的服务器端可以不与本系统装在同一台机器上，但是要安装本系统的机器必须装有ORACLE数据库的客户端。

泰合TSOC-SA日志审计系统介绍

Venustech Confidential
5
产品特点与优势
- 高速日志采集 - 多种日志源与日志类型采集 - 多种协议方式采集 - 主被动结合日志采集 - 无代理方式日志采集 - 多端口日志采集 - 日志加密压缩、存储转发 - 分布式日志采集
- 高速日志存储
- 高速海量日志查询 - 高速海量日志统计报表 - 并行计算 - 分布式数据存储
High Visibility
- 基于拓扑的审计对象视图
- 基于地图的事件定位 - 事件行为图 - 可视化规则编辑器
6
光口），1个Console口
• 标配采用Raid5，有效存储容量3TB
*该数值是指每日平均的EPS数。此时配置了日志采集器。 **该数值假设每条日志占用的综合存储空间为500Byte。综合存储空间是指日志范式化后占用的存储空间字节数，原始日志占用存储空间字节数，为日志建立索引所需的存储空间字节数，以及日志统计表存储空间字节数的总和。
异构海量日志采集
日志范式化与分类
日志过滤归并
领导
关联分析
告警
安全主管
•建立全局安全策略 •出具日志审计报告 •分析安全问题
•制定审计规则
•采集和存储日志审计人员 •执行日志审计
存储
加密
压缩
备份
恢复
3
标准部署模式
4
产品型号
TSOC-SA具有软件和硬件两种形态
TSOC-SA硬件型有两种型号可供选择：
型号规格指标
TSOC-SA2100
• 2U标准机架式，专用硬件平台和安全操作系统
• 单台日志处理性能可达3000EPS*（约合每天130GB**） • 6个千兆电口，支持多端口采集；1个Console口 • 有效存储容量2TB

启明星辰泰合信息安全运营中心介绍

启明星辰泰合信息安全运营中心介绍（108万）启明星辰TSOC采用成熟的浏览器/服务器/数据库架构，由“五个中心、五个功能模块”组成。

五个中心为漏洞评估中心、网络管理中心、事件/流量监控中心、安全预警与风险管理中心以及响应管理中心。

五个功能模块为资产管理、策略配置管理、自身系统维护管理、用户管理、安全知识管理。

启明星辰TSOC综合在一个平台上实现了信息采集、分析处理、风险评估、综合展示、响应管理、流程规范等网络安全管理需具备的所有功能。

主要功能如下：1. 资产管理管理网络综合安全运行管理系统所管辖的设备和系统对象。

它将TSOC其所辖IP设备资产信息登记入库，并可与现有资产管理软件实现信息双向交互，可自动发现管理域里的新增资产，并按照ISO13335标准对资产的CIA属性（保密性、可用性、完整性）进行评估。

2. 事件管理事件管理处理事件收集、事件整合和事件可视化三方面工作。

事件管理功能首先要完成对事件的采集与处理。

它通过代理（Agent）和事件采集器的部署，在所管理的骨干网络、不同的承载业务网及其相关支撑网络和系统上的不同安全信息采集点(防病毒控制台、入侵检测系统控制台、漏洞扫描管理控制台、身份认证服务器和防火墙等)获取事件日志信息，并通过安全通讯方式上传到安全运营中心中的安全管理服务器进行处理。

在事件收集的过程中，事件管理功能还将完成事件的整合工作，包括聚并、过滤、范式化，从而实现了全网的安全事件的高效集中处理。

事件管理功能本身支持大多数被管理设备的日志采集，对于一些尚未支持的设备，可通过通用代理技术（UA）支持，确保事件的广泛采集。

在事件统一采集与整合的基础上，泰合安全运营中心提供多种形式的事件分析与展示，将事件可视化，包括实时事件列表、统计图表、事件仪表盘等。

此外，还能够基于各种条件进行事件的关联分析、查询、备份、维护，并生成报表。

3. 综合分析、风险评估和预警综合分析是泰合安全运营中心的核心模块，其接收来自安全事件监控中心的事件，依据资产管理和脆弱性管理中心的脆弱性评估结果进行综合的事件协同关联分析，并基于资产（CIA属性）进行综合风险评估分析，形成统一的5级风险级别，并按照风险优先级针对各个业务区域和具体事件产生预警，参照安全知识库的信息，并依据安全策略管理平台的策略驱动响应管理中心进行响应处理。

泰合安全运营中心解决方案

泰合信息安全运营中心系统（T S O C）XXXX项目解决方案建议书模板北京启明星辰信息技术股份有限公司Beijing Venus Information Tech. Inc.二零一二年五月目录泰合信息安全运营中心系统（TSOC）.......................... XXXX项目解决方案建议书模板...............................1 安全管理中心总体方案...................................1.1 遵循的标准.......................................1.1.1 ..................... 遵循的国际国内标准和规范1.1.2 ................... 参考的企业标准、规范和指南1.2 平台总体方案体系架构.............................1.2.1 ................................. 功能体系架构1.2.2 ................................. 平台软件架构2 平台的功能特点.........................................2.1 系统平台WEB门户入口界面.........................2.2 资产与业务域管理.................................2.2.1 ..................................... 资产管理2.2.2 ................................... 业务域管理2.3 漏洞信息采集与脆弱性管理.........................2.3.1 ................................. 漏洞信息采集2.3.2 ................................... 脆弱性管理2.4 事件/业务安全监控管理............................2.4.1 ............................... 事件采集与整合2.4.2 ...................... 事件/业务安全可视化监控2.5 宏观趋势分析.....................................2.6 综合关联分析.....................................2.6.1 ................................. 规则关联分析2.6.2 ................................. 统计关联分析2.6.3 ................................. 漏洞关联分析2.7 流量分析模型.....................................2.8 基线管理.........................................2.9 安全策略管理.....................................2.10 网元管理功能.....................................2.10.1 .................................... 拓扑监控2.10.2 ................................ 网元状态监控2.10.3 ................................. TCP端口监控2.10.4 .................................. 数据库监控2.11 工作流管理.......................................2.12 设备控制管理.....................................2.13 多级管理.........................................2.14 风险监控与管理...................................2.14.1 ................................ 事件风险监控2.14.2 ................................ 资产风险监控2.14.3 .............................. 安全域风险监控2.14.4 ................................ 实时风险监控2.15 安全预警管理.....................................2.16 安全策略文档管理.................................2.17 安全信息知识库管理...............................2.18 综合显示与报表报告...............................2.19 安全响应管理.....................................2.20 用户管理.........................................2.21 系统健康管理.....................................3 典型应用...............................................3.1 系统部署.........................................3.2 多级部署.........................................3.3 日常管理.........................................4 方案特点与效果展示.....................................4.1 面向业务的资产与风险管理.........................4.2 安全事件和漏洞监控...............................4.3 多种响应方式.....................................4.4 多种关联分析方法.................................4.5 网元状态监控.....................................4.6 拓扑与GIS展示...................................4.7 丰富的知识库.....................................1 安全管理中心总体方案北京启明星辰信息技术股份有限公司泰合信息安全运营中心系统解决方案（以下简称“安全管理中心”）以实用性和可扩展性为设计指导思想，将安全管理员从复杂的设备配置和海量日志信息中解脱出来，把精力专注于发现和处理各种重要安全事件；同时又将各自独立的安全设备组成为一个有机的整体，通过基于资产管理的事件关联分析和管理，及时发现安全风险、安全事件和业务安全隐患，并结合安全策略和安全知识的管理，提供多种安全响应机制，从而使得客户能够实时掌控网络的安全态势。

管理平台-泰合安管平台(SOC)技术白皮书--启明星辰

除了采集各类安全事件，系统还能够采集形如 NetFlow 的流量日志。针对采集来的 NetFlow 流量日志的分析，系统能够建立网络流量模型，通过泰合特有的基于流量基线的分析算法，发现网络异常行为。
脆弱性管理
系统支持将各类第三方漏洞扫描、应用扫描和人工评估的漏洞信息整合到一起，形成于资产和业务的漏洞信息库，并计算资产和业务的脆弱性。系统能够对新发现的漏洞信息进行预警通告。
■系统简单实用、界面美观大方、内置丰富的仪表板，适用于各级管理人员
■支持对超过 130 种国内外主流设备和系统日志及事件的高速采集、范式化、关联分析、安全存储和响应
■具有国内最完善的安全管理知识库，内容涵盖安全事件库、安全策略库、安全公告库、预警信息库、漏洞库、关联规则库、处理预案库、工作流程库、案例库、报表库等，并可以升级
安全预警与风险管理
系统可以遵循《GB-T 20984-2007 信息安全技术信息安全风险评估规范》标准的推荐要求对用户业务信息系统进行风险评估与分析，结合资产及业务的价值、脆弱性和威胁信息，计算资产或业务的风险等级，并进行预警和展示。系统还能对重要的威胁事件、漏洞信息进行预警和展示。
态势分析
信息展示
系统为客户提供了多样化的信息展示方式。包括：整合网络的可视化视图、具体应用服务的运行细粒度视图、基于规则的安全事件交叉视图、基于资产及安全域的风险视图，等等。
报表报告
系统具备实时和调度报表功能，能够根据各种统计条件实时动态地产生丰富的统计报表，也可以根据客户自定义的调度计划定期自动生成报表报告。系统支持客户自定义报表功能，能够生成各类客户化的报表报告。
管理平台-泰合安管平台(SOC)
管理平台-泰合安管平台(SOC)........................................................................................... 1 一、产品简介.......................................................................................................... 2 二、功能特点.......................................................................................................... 3 三、典型应用.......................................................................................................... 6 四、产品荣誉.......................................................................................................... 7 五、技术优势.......................................................................................................... 9

TSOC-APM泰合信息安全运营中心系统-应用性能管理V3.0.40.1产品介绍

43
谢谢！
欢迎莅临启明星辰大厦参观指导
44
23
应用响应分析
显示应用系统性能信息
定位响应缓慢的页面
HTTP错误信息所有因访问慢页面而受影响的终端
应用状态监控
应用响应分析
应用故障分析
TSOC -APM
应用安全保护
应用访问行为分析
网络流量分析
24
应用状态监控
应用状态监控
应用响应分析
应用故障分析
TSOC -APM
应用安全保护
37
诊断分析
诊断分析诊断工具
应用响应缓慢应用不可用应用性能指标告警线路异常网络攻击 Ping分析抓包分析 SNMP分析探测服务
38
报表管理
① 系统内置大量报表报告模板 ② 系统内置报告编辑器，管理人员可以根据需要灵活地定义所需的报告 ③ 支持报表调度管理，可以定期产生报表报告 ④ 支持自动发送电子邮件派发报表 ⑤ 报表/报告可以预览、打印、导出，支持EXCEL、PDF、DOC、XML、HTML、
IT
的帮安助全客性户和全生面产提效升能其
基础设施21
目录
应用性能管理需求分析泰合TSOC-APM应用性能管理产品介绍产品特点与价值功能详述服务优势
22
TSOC-APM的价值
应用状态监控
应用响应分析
应用故障分析
TSOC-APM
应用安全保护
应用访问行为分析
网络流量分析
端口镜像 – 以上三种情况，可选择其一，也可组合选择，或是全
部选择
17
产品部署
18
支持多路侦听
管理口
探针口

泰合TSOC-SA日志审计系统架构介绍

存储日志过滤日志弻幵日志存储转发日志聚合引擎实时事件流syslogsnmptrapftpopsecleanetbiosodbcwmishell脚本vipwebservice等日志存储用户界面日志分析日志分类日志采集30系统组成?审计中心指tsocsa的管理中心审计中心内置事件采集模块具备全部事件采集功能?日志采集器日志采集器可以独立安装运行功能同审计中心中的采集模块用以辅劣审计中心解决特定日志采集分布式日志采集和负载均衡等问题?日志代理对亍windows日志系统还提供一个单独的windows日志代理软件可以安装在windows系统的主机上采集windows系统的日志31功能规格tsocsa资产管理日志审计觃则管理告警管理报表管理系统管理综合展示32部署方式33单级部署?单机部署?采集分布式部署?事件存储分布式部署?混合分布式部署多级部署internet业务系统服务匙网络核心匙内部用户匙高安全等级服务匙分支机构进程个人管理匙dmz匙internet单级部署
7. 1 技术要求
23
日志审计的本质和内涵
Who －谁 When －在什么时间 Which－访问了哪些资源 What －对访问的资源做了什么 How －如何处理
响应处理
24
当前日志审计系统面临的挑战
日志分散
日志格式不统一
志审计系统？
Verizon认为：要缓解信息破坏和信息泄露，必须进行日志审计
8
日志审计的必要性
Verizon：2013年数据破坏调查报告
Verizon联合世界18家信息安全机构进行的一项全球调查
从47000件安全事件中提取并详细分析了621起数据破坏事件，涉及4480万笔泄漏的信息
9
日志审计的必要性
Verizon：2013年数据破坏调查报告 20项关键安全控制措施

泰合信息安全运营中心系统-安装手册

数据库的使用也类似，两个系统可以使用同一个数据库实例，但必须在该实例上创建两个用户，分属两个系统使用，否则在安装时将发生数据库已经被使用，安装失败的问题。
2.1
2.1.1
2.1.1.1
2.1.1.2
2.1.1.3
“select * from nls_database_parameters”
如果不是该字符集，请在ORACLE服务器端新建一个实例，并在新建过程中选择字符集使用“服务器端自带的“Datebase Configuration Assistant”工具。图为新建实例过程中选择字符集。
2.请确保安装泰合信息安全运营中心系统的硬盘分区有4G以上的可用磁盘空间；
3.请确保安装数据库服务器的硬盘分区有10G以上的可用磁盘空间。
1.2.2
操作系统：WindowsServer2003（32位）\Windows Server 2008（32位）（中文企业版、中文标准版）
Java环境：Java SDK1.5.09以上
1.2
1.2.1
处理器：Intel X86系列或兼容CPU
最低PIV 2.0GHz或相当
推荐Xeon3.0GHz * 2或相当
内存：最低4GB，推荐8GB
硬盘：最低IDE80G* 1，推荐SCSI500GB * 2
网卡：最低10/100自适应网卡* 1,推荐双网卡
注意：
1.如与其他系统公用硬件系统则需要考虑额外的处理能力；
WEB服务器：Tomcat5.5.20以上
数据库：ORACAL10gServer、SQL Server2005、SQL Server2008
注意：
1.如果装有防火墙，请确保TCP 31256、UDP 31256端口可以被访问。

泰合TSOC-SA日志审计系统介绍

高性能
High Performance
高适应性
High Adaptability
TSOC-SA 日志审计
- 日志源快速扩展
- WEB2.0用户交互界面 - 丰富的审计仪表板
- 灵活丰富的报表报告
- 无缝向综合审计平台扩展 - 无缝向安管平台（SOC）扩展
高扩展性
High Extensibility
高可视性
TSOC-SA硬件型有两种型号可供选择：
型号规格指标
TSOC-SA2100
• 2U标准机架式，专用硬件平台和安全操作系统
• 单台日志处理性能可达3000EPS*（约合每天130GB**） • 6个千兆电口，支持多端口采集；1个Console口 • 有效存储容量2TB
TSOC-SA5100
• 2U标准机架式，带冗余电源，专用千兆硬件平台和安全操作系统 • 单台日志处理性能可达6000EPS*（约合每天260GB**） • 4个千兆电口，支持多端口采集，可再扩展16个千兆采集口（电口/
光口），1个Console口
• 标配采用Raid5，有效存储容量3TB
*该数值是指每日平均的EPS数。此时配置了日志采集器。 **该数值假设每条日志占用的综合存储空间为500Byte。综合存储空间是指日志范式化后占用的存储空间字节数，原始日志占用存储空间字节数，为日志建立索引所需的存储空间字节数，以及日志统计表存储空间字节数的总和。
泰合TSOC-SA日志审计系统介绍
An Executive Overview to TSOC-SA
当前日志审计系统面临的挑战
日志分散
日志格式不统一
日志量大
2
系统总揽
监视统计查询追溯报表

泰合TSOC-SA日志审计系统竞争分析

综合审计 3C认证
我们可以通过复杂事件关联分析更灵活的实现
将日志审计与数据库审计、堡垒机结合起来做成综合审计方案以应对用IT认证应对
产品资质对比
计算机信息涉密信息系 IT产品信息安军用信息安系统安全专分级评估证书/ 统产品检测全认证全产品认证计算机软件著作权用产品销售型号证书 -安全管理平证书证书登记证书许可证（EAL3+）台类 √
14
与安恒产品对比优势
友商优势与应对策略
SA优势（攻）资产拓扑知识库日志归并历史关联双机热备部署 DAS-Logger优势（攻）不采用关系型数据库存储,更安全快捷专用的日志专家规则库综合审计明御综合日志审计平台DAS-Logger 不支持不支持不支持不支持不支持 SA应对策略（守）我们也可以说当前采用的事非关系数据库我们可以通过复杂事件关联分析更灵活的实现将日志审计与数据库审计、堡垒机结合起来做成综合审计方案以应对计算机信息涉密信息系 IT产品信息安军用信息安分级评估证书/ 系统安全专统产品检测全认证全产品认证计算机软件著作权型号证书 -安全管理平用产品销售证书证书登记证书（EAL3+）许可证台类 √
内置合规报表
3C认证
我们支持自定义报表，可自定义合规报表
使用IT认证应对
产品资质对比
厂商产品名称泰合信息安全运营中心（TSOC）安全管理系统（SecFox） IT产品信息安军用信息安分级评估证书/ 计算机信息涉密信息系全认证全产品认证型号证书计算机软件著作权系统安全专统产品检测 -安全管理平证书（EAL3+）登记证书用产品销售台类 √ √ √ √ √ X √ √ √ X √ √

泰合安全运营中心解决方案

测试与验证
对实施完成的安全运营中心进行全面测试，确保各项功能正常、性能达标。
配置与部署
根据需求调研结果，配置安全设备和软件，部署安全策略。
上线运行
在测试验证通过后，正式上线运行安全运营中心，开始提供安全服务。
实施后维护
日常监控和维护
对安全运营中心的各项设备和软件进行日常监控和维护，确保稳定运行。
集中管理
将分散的安全设备和系统集中管理，方便统一监控、配置和管理。
快速响应
通过实时监控和威胁情报，快速发现和处置安全威胁，减少安全事件的处理时间。
降低成本
资源整合
01
整合分散的安全设备和系统，优化资源配置，减少硬件和软件
成本。
自动化运维
02
通过自动化工具减少人力投入，降低运维成本。
优化安全策略
深入了解客户的业务需求和安全风险，定制化设计解决方案。
培训与沟通
对客户进行必要的培训和沟通，确保客户了解实施计划和预期效果。
资源准备
准备所需的人员、技术、设备等资源，确保实施过程的顺利进行。
环境搭建
建立安全运营中心所需的硬件和软件环境，包括服务器、网络设备、安全设备等。
实施过程
系统集成
将安全运营中心与客户的现有系统进行集成，实现数据互通和信息共享。
定期更新与升级
根据安全威胁的变化和技术的更新，定期更新和升级安全运营中心的相关组件。
应急响应与处置
建立应急响应机制，对安全事件进行快速处置，降低风险和影响。
持续优化与改进
根据客户的反馈和实际运行情况，持续优化和改进安全运营中心的性能和服务质量。
05
预期效果和影响
提高安全性

泰合安全管理平台(TSOC)

泰合安全管理平台（TSOC）架构及功能
1
TSOC平台构成
概述平台架构
TSOC主要功能
主要模块各模块功能介绍
2
TSOC系统概述
泰合安全管理平台，是为解决各安全产品间的协作问题而建立起来的一个信息交换、信息存储、信息处理平台，通过该平台，可以对各安全产品进行控制管理。
泰合安全管理平台由用户管理、事件管理和安全管理中心三部分组成。
12
关联分析
规则关联分析
– 由用户预定义规则对两个或以上的事件进行关联，以准确发掘判断出众多事件中的安全事件。它基于小的时间片，实时性较强按统计学，将某时间段中事件信息进行统一分析，参照一些基线及阀值，对安全态势进行判断和预测基于大时间片，实时性低
–
统计关联分析
–
–
漏洞关联分析
省市级
电力及能源领域
军队军 78***部队工
教育
地市级
28
谢谢
欢迎莅临启明星辰大厦参观指导
29
行业电信领域
客户名称
广东省电信公司中国移动通信集团新疆有限公司中国移动通信集团河南有限公司湖南电信江西移动中国联通有限公司广东分公司青海移动中国电信股份有限公司昆明分公司河北移动通信有限责任公司中国电信股份有限公司四川分公司中国移动通信集团设计院有限公司中国航天科技某研究院中国兵器工业集团公司中国船舶工业综合技术经济研究院西安航空发动机集团有限公司
–
–
漏洞关联分析是判断系统收集到的事件所对应的漏洞编号或端口与系统中存在的资产的漏洞编号或端口号是否符合，如果符合就触发关联事件。进一步降低系统的误报率。
13

泰合安全运营中心解决方案

泰合安全运营中心解决方案介绍泰合安全运营中心解决方案是一个全面的安全解决方案，旨在帮助组织建立和管理其信息安全运营中心。

本文档将详细介绍泰合安全运营中心解决方案的具体内容和优势。

什么是安全运营中心安全运营中心（SOC）是一个组织的集中安全管理和监控中心，负责监控、检测和应对各种安全事件和威胁。

安全运营中心集成了安全监控、事件响应、威胁情报和安全分析等功能，旨在确保组织的信息系统和数据的安全。

泰合安全运营中心解决方案的特点泰合安全运营中心解决方案具有以下特点：一体化集成泰合安全运营中心解决方案集成了安全监控、事件响应、威胁情报和安全分析等功能，可以提供全面的安全管理和监控能力。

实时监控和响应泰合安全运营中心解决方案可以实时监控组织的网络流量、日志和事件，及时发现和响应安全威胁，有效减少安全风险。

智能威胁分析泰合安全运营中心解决方案利用先进的威胁情报和安全分析技术，可以对安全事件进行智能分析和判断，提供准确的安全风险评估和建议。

多维度报告和可视化分析泰合安全运营中心解决方案可以生成多维度的安全报告，通过可视化分析展示安全事件和威胁的趋势和关联性，帮助组织更好地了解和应对安全风险。

灵活可扩展泰合安全运营中心解决方案基于开放式架构设计，可以与组织的现有安全设备和系统无缝集成，同时支持灵活的扩展和定制化需求。

泰合安全运营中心解决方案的架构泰合安全运营中心解决方案的架构包括以下模块：安全事件监控模块安全事件监控模块负责实时监控组织的网络流量、日志和事件。

它通过网络流量监测设备、入侵检测系统和日志管理系统等技术手段，对网络中的安全事件进行检测和记录，并生成相应的告警和日志。

威胁情报模块威胁情报模块负责收集、整理和分析各种威胁情报，并与安全事件进行关联分析。

它可以从多个来源获取威胁情报数据，包括公共威胁情报平台、内部安全设备和组织的安全人员采集的情报等。

安全分析模块安全分析模块负责对安全事件和威胁进行智能分析和判断。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

首页................................................................................................................................................ 13 2.1 2.2 导航栏.................................................................................................................................... 13 管理面板................................................................................................................................ 13
第 2 页共 72 页
安全源自未雨绸缪，诚信贵在风雨同舟
客户服务与技术支持
如果您在使用泰合产品时遇到了问题，可以通过以下方式反馈给我司的客户服务部，我们将竭诚为您提供技术支持。启明星辰公司客户服务部的联系方式如下：地址：北京市海淀区东北旺西路 8 号中关村软件园 21 号楼启明星辰大厦电话：010-82779160 传真：010-82779151 接收者：服务支持部网站支持：
3.1.1 3.1.2 3.1.3
3.1.3.1 3.1.3.2 3.1.3.3 3.1.3.4 3.1.3.5 3.1.3.6
资产域........................................................................................................................... 17 资产组........................................................................................................................... 18 资产............................................................................................................................... 19
3.1.4
3.2
拓扑连线....................................................................................................................... 21
资产分类................................................................................................................................ 22
工具按钮................................................................................................................................ 15 模块最小化............................................................................................................................ 16
资产操作..................................................................................................................................19 设置资产图标.......................................................................................................................... 20 查看资产事件.......................................................................................................................... 20 查看资产告警.......................................................................................................................... 20 自动添加资产.......................................................................................................................... 21 查询资产..................................................................................................................................21
3.2.1 3.2.2
4
设备分类........................................................................................................................................................................................................................ 22
MAIL 支持：support@ 信函支持邮编：100193
或者您可以拨打 800 热线：热线电话：800-810-6038 （服务时段为周一至周五的 9:00---17:30，包括国家法定节假日）
第 3 页共 72 页
安全源自未雨绸缪，诚信贵在风雨同舟
目录
资产................................................................................................................................................ 17 3.1 资产拓扑................................................................................................................................ 17
2.2.1 2.2.2
2.3 2.4 3
默认面板....................................................................................................................... 13 自定义面板................................................................................................................... 14
泰合信息安全运营中心系统系统 -日志审计日志审计系统用户手册
北京启明星辰信息安全技术有限公司
2011 年 12 月
安全源自未雨绸缪，诚信贵在风雨同舟
版权声明
启明星辰公司版权所有，并保留对本手册及本声明的最终解释权和修改权。本文档是泰合信息安全运营中心系统-日志审计系统的用户手册，本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。未经北京启明星辰信息技术安全有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。本文档中的信息归北京启明星辰信息安全技术有限公司所有并受著作权法保护。 “泰合”为北京启明星辰信息安全技术有限公司的注册商标，不得仿冒。免责声明本手册依据现有信息制作，其内容如有更改，恕不另行通知。启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。信息更新本文档及其相关计算机软件程序（以下文中称为“文档”）仅用于为最终用户提供信息，并且随时可由北京启明星辰信息安全技术有限公司（下称“启明星辰”）更改或撤回。出版时间本文档于 2011 年 12 月由北京启明星辰信息安全技术有限公司泰合中心编写。
1 系统概述.......................................................................................................................................... 8 1.1 1.2 1.3 1.4 1.5 1.6 2 概述.......................................................................................................................................... 8 串口管理.................................................................................................................................. 8 WEB 管理................................................................................................................................. 8 系统默认配置........................................................................................................................ 10 功能介绍................................................................................................................................ 10 名词解释................................................................................................................................ 11