安天鉴形安全管理平台
产品简介
安天鉴形安全管理平台(PTF-SOC)以IT资产为基础,以业务信息系统为核心,以用户体验为指引,从监控、审计、运维三个维度建立一个全网统一的业务支撑平台,使得各种用户能够对业务信息系统进行可用性、性能与服务水平采集、监控,配置及事件分析、审计、预警与响应,标准化、例行化、常态化的安全流程管控,通过面向业务的主动化、智能化安全管理,实现业务信息系统的持续安全运营。
客户价值
-
1、满足政策合规性要求,符合等级保护要求三级中对安全管理平台的要求。
-
2、提供多方位的态势大屏,全面掌控信息系统风险状况,有效降低安全风险。
-
3、从日志、流量、漏洞、威胁情报等多方面洞悉安全态势,提高运维人员工作效率。
产品特点
-
全要素采集、全场景分析、多维可视化安天鉴形安全管理平台整合智甲、探海、LDAP、镇关防火墙、威胁情报、漏扫报告等安天自有产品,实现基于日志、流量、漏洞、威胁情报的全要素信息采集,日志及流量数据自动解析,跨产品实现全场景安全威胁分析,从运营、资产、风险、威胁、脆弱性、攻击、流量及综合态势全面洞悉全网安全态势,有效提升安全防御能力。
-
细粒度资产管理
支持自动发现资产、资产监控、资产风险值、资产拓扑自定义、资产策略下发、自定义资产属性,能够与智甲对接以实现直示资产、软件安装、进程、补丁、服务器性能等细颗粒度信息,资产变化实时感知,安全不再落后于业务。
-
灵活存储,高性能、有效降成本
默认将采集数据存储在ElasticSearch数据库,对于超大数据量的业务场景可自定义选择将采集数据存在ElasticSearch、Clickhouse或其他数据库,数据压缩率最高可达10%;支持es集群部署及外接es,安管平台基于原生ES做了底层存储,支持灵活替换成其他支持es的工具,例如elk组合等,亦可根据ES进行二次开发。
-
多种数据分析方法,多维度全方位的安全运营
支持UEBA用户异常行为分析。内置典型场景模型,可实现单场景或多场景时序关联内网安全威胁事件检测;平台整合安天威胁情报系统,内置威胁情报告警规则,支持基于威胁情报的关联分析;支持SPL语法分析;支持告警拓线分析,帮助客户快速从点到面了解安全运营整体态势。
-
SOAR任务编排,高效自动处置安全事件
安天鉴形安全管理平台具备可视化的流程编排工具,支持用户自定义剧本。对于发现的安全事件可自动启动预编排的响应流程,从而实现安全告警的自动化处置,从而实现事件快速、闭环处置。
-
架构灵活,可拆可合
安天鉴形安全管理平台采集层、数据分析层、数据展示层每一层功能层均可拆可合,可以独立应用,支持rest、SPL接口开放,灵活与第三方系统对接。
部署方式
-
分布式级联
采用分布式级联架构,采集器负责采集安全资产、安全事件、脆弱性、配置、策略等信息;分支及中心安全管理平台提供安全信息的集中分析、管理流程和统计报告的展现。中心安全管理平台提供了对下一级分支管理平台的集中管理和策略控制。
-
水平扩展模式
通过服务器水平扩展提升数据分析能力,从而降低单台服务器性能要求,易于实现在云计算平台上实现。
客户案例
-
1、电信集团
通过部署安天鉴形安全管理平台满足等保2.0中关于安全管理中心的要求,支持一、二级节点分级部署,通过采集IPS、linux主机、VPN、防病毒、防火墙、web中间件(tomcat、nginx、weblogic等)日志,通过自定义索引字段灵活满足各类日志解析,支持自定义明文传输协议告警、远程代码执行告警、SQL注入告警、高危端口告警、目录遍历告警、命令执行告警、任意文件读取告警等规则,有效检测web安全风险,安全态势整体可控。
-
2、某财政厅
部署安全管理平台满足重点保障护网行动,支持省、地市财政厅智甲、探海的日志集中采集,支持告警拓线分析,基于13个地市分布定制可视化界面,动态轮播地市安全运营态势,钻取地市威胁信息,支持下载探海pcap包查看详情,支持资产管理、告警后续处理以三级地市视角展开,支持通报预警,支持与智甲联动进行病毒查杀等处置行为,极大提升安服人员分析及处置效率,保障护网行动顺利完成。
-
3、某航天项目
部署安全管理平台做集中的数据采集及解析后字段转发,对接智甲,解析后字段转发支持可配置哪些字段不转发,支持告警拓线分析,资产属性自定义新增,日志解析支持加解密函数,与安天威胁情报对接支持威胁情报关联告警,快速灵活满足用户定制需求。