本帖最后由 不懂就得问35185 于 2024-1-27 09:44 编辑
前言:XX大学当前的安全建设是以SIP为安全大脑,结合安全组件构建一套可视、检测、响应为一体的安全运营中心。通过分阶段保障持续运营,逐步梳理实现XX大学在网络安全层面场景化、剧本化的安全解决能力。最终实现安全态势感知平台联动AF、AC、EDR、解决用户安全事件自动响应,快速闭环的问题。 背景:XX大学作为区域的泛KA客户,客户使用了深信服的全套安全产品,在教育行业具有很高的影响力。 客户需求:客户需求点 | 产品功能实现 | SIP安全事件不能自闭换,出现告警需要人为处置闭环事件 | SIP同时联动AF,AC,EDR对安全进行封锁,通知和响应处置,达到部分安全事件自闭换的效果 | 人工处置安全事件时效性较差,感染性病毒不能及时发现和处置。 | 通过SIP联动MSS,7x24分析检测平台+人工判断,保证了及时性和准确性 | | 1、 SIP联动EDR出现告警事件推送下载链接。 2、 AC联动EDR,通过重定向流量主动推送客户端下载界面。 | | |
实施流程:1、需求解读明确客户最真实需求点 2、测试方案规划(设备版本,网络拓扑,) 3、客户现场定点测试 4、学校发布通知, 5、方案推广上线 价值呈现:标准场景日志接入: 核心产品 | 扩展产品 | 数据工作流 | | | STA将安全日志/审计日志上传到SIP,对日志进行分析识别到高级威胁和互联网攻击事件。 | | AF将安全日志/应用控制日志上传到SIP,SIP对日志进行分析识别到高级威胁和互联网攻击事件。 | | AC将上网行为及身份信息同步给SIP进行统一的汇总和分析,帮助快速定位到存在安全风险的用户身份,从而实现精确提醒及账号封锁,加固对于上网安全的管控 | | EDR管理平台可选择将终端安全事件/资产信息/终端行为日志上报到SIP进行统一的安全运营。 |
结果展示图: 一期方案:联动场景单产品自动化处置,可针对部分非法行为和安全事件的自动化的处置,减轻运维压力,当前可实现下列3个成熟的场景。
核心产品 | 扩展产品 | 数据工作流 | | | 联动封锁IP:SIP发现病毒类事件(勒索病毒,挖矿病毒),通过处置中心下发的联动IP封锁会根据事件类型,添加以源或目的的一条AF临时黑名单策略封锁IP地址。 | | 一键查杀:SIP发现病毒类事件(勒索病毒,挖矿病毒),SIP对风险主机下发一键查杀策略到EDR管理端,再由EDR管理端同步查杀策略进行终端病毒扫描查杀。 | | 上网提醒:SIP对风险主机账号下发上网提醒策略到AC,AC匹配账号对应的IP地址,进行重定向到提醒界面。 |
存在问题: 1、策略单一化,针对安全事件需要配置多条策略,并且效果不佳。 2、经常出现用户在无感知的情况出现用户被防火墙加入临时黑名单。 3、防火墙联动封锁之后客户无法下载EDR进行病毒查杀。 二期方案:联动场景多产品自动化处理(引入剧本),结合AF,AC,EDR,MSS实现整套安全事件快速响应和闭环,MSS提供24小时人工分析,保障事件检测的准确率。 效果截图: AF联动封锁 AC告警提醒 EDR病毒查杀 方案汇报新需求点: 1、 AC告警能够针对终端自身的触发事件(挖矿、蠕虫)进行通知。 2、 通过终端触发安全事件的方式进行EDR推送安装,进度特别缓慢。 三期方案(AC联动EDR):AC联动EDR推送客户端安装,通过流量重定向的方式来推断客户端安装 前期准备: 1、上网行为管理需要购买“上网安全授权”序列号,否则没有没有终端上网安全模块。 2、上网行为管理12.0.17以上版本设备,建议使用13.0.X版本。 3、上网行为管理和EDR网络通信正常。 4、准备内部通知文件。 深信服终端安全EDR推送: 结果展示: 注意事项: 1、只适用于向window终端场景推送。 2、策略推送需要设置IP范围,避免选择全网段导致部分用户无法上网。 3、策略生效之后用户打开浏览器上网会提示一个告警界面,需要用户点击高级,继续访链接重定向界面才会生效,需要学校提前发送通知提示用户如何进行操作(如下图所示)。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师1级 
