深信服下一代安全运营中心(NGsoc案例分享)
  

希尔_古国壮 66072人觉得有帮助

{{ttag.title}}
本帖最后由 古国壮 于 2022-7-4 10:23 编辑

客户存在问题
1、外域资产探测(不清楚自身在公网上面未加密资产,导致经常被上级单位通报)
2、自身资产台账整理不清晰(众所周知,现在护网已经成为主流,客户不清楚自己的资产,就相当于不知道自己的暴露面有多少,这样在护网中经常会出现被攻击找不到资产责任人来维护的情况或者不能及时的补救)
3、威胁情报,告警,漏洞情况太多,各个厂商安全设备日志割裂,工程师运维比较麻烦,海量的告警日志,安服工程师精力有限,这就会造成误报较多,而对真实告警处理不及时,导致告警进一步发展为事件的情况。
4、虚拟机等资产开放端口情况记录不详细,让自身处于威胁之中。
产品解决方案:
1、通过stasip的设备数据接入后通过平台进行治理,再建立模型来解决。
具体步骤:将探针和态势感知的数据源接入进来,外域资产只有使用未加密的情况(会被上级单位通报)我们通过ngsoc通过解析sta捕获上来的reqbody这个字段的流量来进行分析客户数据包里面的内容:
上图为探针捕获情况发送到ngsoc上面,但是探针捕获的字节长度明显达不到我们分析数据的标准。针对这种情况我们解决方法是:将sta上面捕获流量body字段的阈值加大。
平台模型建立:
探针调试:
注意:字段阈值添加问题一定要找寻400来进行设备cpu性能的评估,测试情况重在不影响客户正在运行设备为第一标准
然后将接入的数据进行治理,这时可以日志解析里面获取到该设备流量的具体日志。再通过清晰明了的建模流程来提取公有云资产的特征性字段(如该区域名称缩写等)进行域名的过滤。
然后整理通过检索域名的语句将解析出来的域名检索出来。自身过滤一部分名单,后续交友客户工程师确认,确认一批加入过滤的名单中,后续就只用确认新的,这样就会越来越简洁明了。
PS:注意这里不用AC的原因:AC开启网页审计后,我们可以获取到用户访问的该网页的域名,但是一般情况下,外网资产域名上面涵盖的特殊的字段很少甚至是没有,我们需要解析网页的内容中获取的特殊的字段用来提取这些特殊字段。AC审计后网页内容会生成一个链接,这个链接上面的内容存储在AC本地,NGsoc平台不能直接使用。
2、自身台账不清晰问题解决:许多客户的自身资产情况都是通过原始记录并且不断更新的情况来记录自身资产的,这种情况我通过调研得出(一部分设备未记录在案,还有一些设备出现了未使用的情况,但是资产台账中还未清除的情况),这样我们的资产情况就会有一部分设备不清楚,并且出现安全事件问题的话,设备的责任人还需要时间来查找,造成出现问题对应责任人查找不及时的情况。我们设备上有关于资产这一部分的功能,最开始情况我们可以通过明确各个政务网段来区分不同的委办局,并且委办局内也可以进行更加细化的区分,我们可以将客户原有 的资产台账录入进我们的资产模块,后续通过我们CWPP\EDR\SIP\STA传输过来的资产情况,设置审核要求,这样就会将传输过来的资产情况进行审核,符合要求,明确为自身资产的可以审核入库。注:因为有原始的资产台账,后续审核资产会很少。对于未使用的资产我们的大数据平台还有资产退库的设置。例如:我们可以设置资产180天未上线自动退库操作来保障我们平台可以根据资产的实时变化而更新。
3、安全事件告警情况削减,因为各个厂商日志割裂,运维难度大大增加。具体描述如下图:
解决办法:我们的安全大数据分析平台有强大的兼容性,目前已经支持三百多种安全产品直接接入进行日志解析,一些没有相关内置解析规则的设备,我们平台提供日志解析的工具,只需要获取到设备的样例日志就可以进行解析。后续通过建模处理这些安全设备上面的告警日志逐渐消减,从而生成相应规则来持之以恒的进行告警的削减。
4、4、虚拟机进程端口问题:通过cwpp来识别客户的资产指纹(端口,中间件),内容资产中心提供指纹调查功能,当出现0day漏洞、高危软件、开放端口等威胁情报时,需要查找对应的端口、软件、WEB信息的时候,能够快速检索到受影响的主机范围。
指纹识别提供按监听端口、运行进程、系统账号、数据库、软件资产和web资产几个维度检索影响主机。
[监听端口为例,列表展示了当前所有主机全部端口号统计分类数,进程分类数以及主机数;
若出现存在安全风险的端口时,如22端口,可直接搜索端口号后点击[主机个数,查看开放22端口的主机详情,包括主机名称、端口绑定ip、进程启动时间和运行用户,帮助用户判定当前主机是否存在端口开放的安全风险。

打赏鼓励作者,期待更多好文!

打赏
7人已打赏

Hill_李胜阳 发表于 2022-4-16 09:24
  
占个楼,感谢楼主分享,打卡学习一下
小蜻蜓 发表于 2022-5-12 09:37
  

占个楼,打卡学习一下,有问题找一下楼主
平凡的小网工 发表于 2022-5-27 22:03
  
我在社区摸爬滚打这么多年,所谓阅人无数,就算没有见过猪走路,也总明白猪肉是啥味道的。一看到楼主的气势,我就觉得楼主同在社区里灌水的那帮小混子有着本质的差别,你一定就是传说中的最强技术牛。
陆见精 发表于 2022-5-31 09:18
  
目前正在测试ngsoc,拭目以待
TCnet 发表于 2022-6-13 09:56
  
这个NGSOC产品还有其他功能吗,类似产品介绍的文档,网上还搜不到更多的资料
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
标准化排查
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版达人