跟迪普的工程師去中國郵政上架了態勢感知,不能白去,總結一下吧!
態勢感知的作用?
態勢感知平台定位為客戶的安全大腦,是一個檢測、預警、響應處置的大數據安全分析平台。其以全流量分析為核心,結合威脅情報、行為分析建模、UEBA、失陷主機檢測、圖關聯分析、機器學習、大數據關聯分析、可視化等技術,對全網流量實現全網業務可視化、威脅可視化、攻擊與可疑流量可視化等,幫助客戶在高級威脅入侵之后,損失發生之前及時發現威脅。
下面以深信服為例,(各個廠商差別不大)
為什么企業要上架態勢感知類的設備呢?
安全現狀:
傳統安全防護體系問題:三個不知道
等保2.0強制要求
信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)
8.1.3.3 入侵防范(第三級安全通用要求) 本項要求包括:
c) 應采取技術措施對網絡行為進行分析,實現對網絡攻擊特別是新型網絡攻擊行為的分析;
在對應《測評要求》中要求部署抗APT攻擊系統、網絡回溯系統和威脅情報檢測系統或相關組件,並驗證是否對網絡行為進行分析,實現對網絡攻擊特別是未知的新型網絡攻擊的檢測和分析。
分析類的設備,是等保三級以上必備的,因此各個廠商通常都有相關的設備,既使現在沒有的,正在抓緊研發。比如DP,截止2019年6月28日,DP的態勢感知已經能初步部署上線,后面可能就要全線推廣了。
產品價值:
台定位為客戶的安全大腦,是一個檢測、預警、響應處置的大數據安全分析平台。其以全流量分析為核心,結合威脅情報、行為分析建模、UEBA、失陷主機檢測、圖關聯分析、機器學習、大數據關聯分析、可視化等技術,對全網流量實現全網業務可視化、威脅可視化、攻擊與可疑流量可視化等,幫助客戶在高級威脅入侵之后,損失發生之前及時發現威脅。
解決方案:
技術優勢(各個廠商差不多,下面以深信服為例):
關於迪普的態勢感知
迪普的態勢感知是兩個一模一樣的設備,如下圖所示:
這並不是雙機熱備,而是一個探針,一個分析平台,探針負責被動收集數據包,肯定是通過端口鏡像收集的。而分析平台負責分析和展示,硬件是一模一樣的,只不過安裝的系統不一樣,探針的作用快速穩定的保存數據包,而分析平台的作用來分析展示。
探針和分析平台都是基於centos7系統做的二次開發,分析平台的分析能力是建立在ansible這個框架之上的。
迪普的設備是分成探針和分析平台兩部分,有的廠商是把探針和分析平台集成到一起了。
迪普的的態勢感知是B/S架構,瀏覽器登錄之后F11全屏即是下面的效果:
(上圖不是迪普設備,而是與之差不多的廠商的)
迪普態勢感知如何安裝系統呢?
插入系統U盤---重啟---按F11--進入開機啟動項,選擇下圖中的第四項:Gerneric flash disk 8.07進行安裝。
產品成熟了之后,系統肯定是安裝好的,以后在線長級就行了。
態勢感知如何部署呢?
部署非常的簡單!
- 通過鏡像端口將數據引入到探針
- 探針連入分析平台,探針初步分析之后,再將分析后的結果再交由平台分析並展示。