《XX学院网络安全运营数字沙盘项目采购需求.docx》由会员分享,可在线阅读,更多相关《XX学院网络安全运营数字沙盘项目采购需求.docx(21页珍藏版)》请在课桌文档上搜索。
1、XX学院网络安全运营数字沙盘项目采购需求一、项目概况网络安全工作是“三分靠技术、七分靠管理”。安全管理流程的落地质量直接关系组织网络安全建设的效果;安全事件发生时,如果缺乏合理的流程,安全检测、安全分析、安全处置和应急响应工作流程不清晰和不系统最终对于组织业务不利。往往组织的安全运营工作缺乏可视化在线流程体系的支撑,工作经验和数据无法沉淀在系统中,使得组织的安全运营能力无法得到提升。因此需要通过本次项目打磨出适合组织的安全运营流程,能够让组织各部门协同起来,有条不紊应对各类网络安全事件,让安全运营工作在线流程系统上执行起来,不断沉淀经验、不断沉淀数据和不断优化流程,最终提升网络安全的建设效果。
2、XX学院管理与信息学院与国内一线安全厂商达成战略合作,结合学院数字安全专业群建设规划,校企双方共同重点打造数字安全产业学院。依托双方共建的产业学院平台,结合共建学校的发展规划和业务需求,发挥双方各自优势,实现校企资源共享,双方共同制定人才培养方案、合理设置教学计划和开发具有学校特色的实用课程,把产业学院打造成数字安全行业产教融合的新型育人平台、产业研究基地、学生创新创业实践基地,成为合作学校的人才培训中心和研究中心。网络安全教学靶场实训室能够满足信息安全应用技术学生日常教学和实训教学的需求,提升他们的专业技术能力。建设网络安全联合运营数字沙盘,有助于有机整合专家化运营能力、标准化操作流程、智能
3、化运营平台、场景化运营数据等资源,为学生提供模拟常态化的覆盖资产管理、风险检测、威胁监测、事件处置等服务,与用户协同构建持续、主动、闭环的网络安全运营体系模型环境,助力实现安全风险可控、安全能力提升、安全价值可视的三维学习实训环境。通过建设网络安全运营数字沙盘,结合优秀的培训教学教材,不断提升办学水平,对学校科研、教学的实现和完善具有重要意义;通过校企合作,促进产学研一体化、促进科研成果转化并最终成为生产力;通过平台提供的教学和实训,提高学校的竞争力和学生的实践能力;通过平台的搭建,响应国家的战略规划要求和政策,有利于提升学校的品牌。通过建设网络安全运营数字沙盘,通过专业、全面的教学资源辅助教
4、师教学,提升教师师资水平,提供课程自主创建的平台,利于教师进行课程开发、日常备课及授课;方便教师对学员实验过程进行把控,提升教学质量;提供教学管理,方便教师对学生进行管理,提高教学效率;通过平台统计分析系统,提升教师对学生能力的掌握度,更合理的为学生做后续学习规划。通过建设网络安全运营数字沙盘,可提供真实的网络环境,从基础运营服务入手,培养发掘网络安全人才,进行深度培养、复合型人才培养,专业学员组成本地安全专家池,建立区域/行业级网络安全托管运营数字沙盘,集中为区域/行业用户提供远程、持续的业务安全监控,并在过程中持续迭代服务知识库,全方位全天候监测预警网络安全风险,通报处置闭环网络安全事件,
5、最总形成产教学研用闭环的安全托管式运营数字沙盘团队;通过岗位化的培训,让学生提前接触不同岗位所需的课程和技能,为明确个人未来发展方向提供帮助;通过场景化的学习,真正提高了学生的信息安全技能和实战能力;使学生在毕业时扩大了择业的范围,可以从事网络技术工程师、网络管理员、信息安全工程师、安全管理员等网络技术类职业,提高学生的就业率。二、采购清单序号货物名称数量单位1平台软件1套三、技术需求(一)资产探测平台具备通过主动探测方式发现存活的资产,探测维度包括网站主域名钻取探测、IP/IP段扫描探测、Web探测,用户自定义探测周期及资产入库方式,入库方式包括自动入库和二次人工确认后入库;自定义配置资产探
6、测速率和探测端口范围,设置全端口探测能力,系统内置不少于3种常用端口标准模版供用户自主选择使用;探测资产指纹并提取相关信息,包括但不限于指纹名称、供应商、供应商URL;探测资产状态,对资产状态进行实时监控,展示资产存活信息、web资产访问状态码信息、主机资产在线情况信息;针对某一组织单位配置对应的IP范围,在该范围内扫描发现的资产自动归属到该单位目录下。(二)资产管理平台资产导入、导出;对资产进行标定,标定内容包括:资产名称、重要程度、资产类型、IP地址、是否互联网暴露、资产类型;对资产进行分组,可通过资产标签对资产划分资产组;对资产进行打标,至少30种类扫描器标签的识别;可对资产增加自定义标
7、签。根据Web资产、主机资产、域名资产和端口资产进行分类,展示资产具体信息,包括但不限于资产名称、资产类型、资产重要等级、资产等保级别、资产互联网暴露情况、检出时间等信息。管理资产归属信息,通过将资产与单位、人员、地域、业务系统进行关联,明确资产归属和管理责任。提供标准资产数据接口,将收集的资产信息同步至其他安全分析平台进行分析和展示。(三)资产扫描器平台资产扫描器的类型识别:(1)根据告警内容,识别出扫描器的类型,什么扫描器;(2)在MSS告警中输出扫描器的类型标签;(3)效果论证,影响论证,可落地验证。(四)漏洞优先级平台根据漏洞的所在资产重要程度、资产互联网暴露情况、漏洞利用难度、漏洞披
8、露事件、漏洞利用后果、漏洞危险等级综合判定当前漏洞优先级得分。(五)漏洞和弱口令管理Web漏洞扫描能力,对能力范围内的Web系统漏洞进行扫描检测,包括SQL注入漏洞、跨站脚本漏洞、开放能力漏洞、网站第三方应用漏洞、隐藏字段、表单绕过、框架注入、Oday漏洞等。大规模网站漏洞扫描能力。主机漏洞扫描能力,对能力范围内的主机进行漏洞扫描检测,扫描结果包括漏洞详情、影响端口、影响能力、漏洞编号等信息并能提供漏洞的修复建议,漏洞知识库需与国际CVE、国内CNNVD漏洞库标准兼容。弱口令扫描能力,对能力范围内的资产进行弱口令检测,对SMB.RDP、SSH.TELNET、FTP、SMTP、IMAP、PoP3
9、、MySQL、MSSQL、REDlS等协议进行弱口令扫描。提供安全事件监测能力,对能力范围内的Web资产提供包括暗链、挂马、黑页、挖矿脚本、WebShe11、坏链在内的安全事件监测。内容风险监测能力,对能力范围内的Web资产提供包括身份证信息、敏感内容、错别字、不良信息在内的内容风险监测。Nday漏洞扫描能力,对能力单位内的资产进行NDay漏洞扫描监测。风险+V能力,自动对发现的安全风险进行判断,对高置信度的安全风险进行+V标记,减少判断漏洞/事件需要的工作量。风险数据对接能力,通过能力平台将发现的安全风险信息同步至其他安全分析平台进行分析和展示。自定义扫描参数和自定义扫描策略并生成固定的漏洞
10、扫描模板;扫描黑名单配置,已配置黑名单的Web资产和主机资产不会被扫描;对安全事件进行扫描监测并自定义设置扫描层数。(六)威胁情报入站攻击攻击源威胁情报识别:“数据流向”为“外访问内”的告警,在“源IP”后打上威胁情报命中标签,点击详情可查看该IP的“威胁情报信息”,包含:威胁类型、威胁子类、确信度、威胁等级、标签、最早发现时间、最近更新时间。出站攻击目标IP或域名威胁情报识别:“数据流向”为“内访问外”的告警,在“源IP/域名”后打上威胁情报命中标签,点击详情,可查看该IP/域名的“威胁情报信息”,包含:威胁类型、威胁子类、确信度、威胁等级、标签、最早发现时间、最近更新时间。恶意文件威胁情报
11、:对于恶意文件,根据文件哈希对文件进行威胁识别,生成威胁情报信息,包含:威胁类型、威胁子类、确信度、威胁等级、标签、发现时间、更新时间。(七)暴露面管理暴露面扫描功能;可查看域名、IP暴露面、攻击面;可查看暴露面IP、端口、归属地、状态码、命中指纹、响应报文;可查看、导出暴露面检测报告;可检查暴露面的POC命中数。子域名分析能力:子域名搜集模块DNS暴力枚举、多种引擎、威胁情报、DNS数据集、IP反查等能力进行子域名的探测,返回子域名的结果信息。IP段分析:IP段探测,利用网络空间引擎,获取目标的IP段目标的资产、开放端口、服务、指纹信息、应用的暴露的互联网资产情况信息;敏感信息分析:对git
12、hub泄露、微信资产探测分析,能对github的泄露代码、移动端开通的微信公众号等进行分析,发现这类暴露在互联网的敏感信息。(八)分析模型可创建威胁分析模型;可创建规则模型、统计模型、关联模型;可设置全局分析模型和自定义分析模型;可设置学校白名单,通过白名单过滤相关告警。规则模型构建:(1)定义规则条件:根据业务需求和安全要求,定义规则条件,例如特定的日志模式、关键词匹配、异常事件等;(2)确定告警策略:定义租户关注的规则组策略,确定租户规则的优先级高于全局规则;(3)置信度排序:为规则设定置信度评级,以便在告警时按照置信度对规则进行排序。统计模型:(1)聚合数据分析:对收集到的数据进行聚合,
13、例如按时间、区域、用户等进行统计分析;(2)规则匹配:定义统计模型规则,对聚合数据进行规则匹配,找出符合条件的统计结果;(3)告警输出:将匹配结果进行告警输出,并根据需要修改原始数据中的alarmName,以标识不同的统计模型。关联模型:预定义事件关系:根据已知的事件关联关系,建立预定义的关联模型规则;事件匹配:根据关联规则对收集到的事件数据进行匹配,找出相关事件;告警处理:对匹配结果进行告警输出,以识别可能的关联事件和潜在威胁。(九)策略编排规则模型策略编排:(1)定义规则条件:根据安全需求和业务场景,建立规则条件,例如检测异常登录、敏感数据访问等;(2)租户关注规则组:允许租户定义关注的规
14、则组,这些规则组将优先于全局规则进行筛选;(3)置信度排序:为每个规则设定置信度评级,以便在告警时按照置信度排序,确保高置信度的规则优先考虑。统计模型策略编排:(1)聚合数据分析:对日志数据进行聚合分析,例如按时间窗口内的登录失败次数、特定IP的访问频率等。(2)统计规则定义:制定统计模型规则,例如基于聚合数据匹配的异常访问模式、异常请求量等。(3)告警输出和标识:将匹配的统计结果进行告警输出,并根据统计模型类型修改alarmName,以区分不同的统计模型告警。关联模型策略编排:(1)预定义事件关系:建立预定义的事件关联规则,例如识别账号泄露、横向移动等。(2)事件匹配和分析:对事件日志进行关
15、联匹配分析,找出与预定义关系相关的事件。(3)告警和响应:对匹配的关联事件进行告警输出,并采取相应的安全响应措施,例如阻断访问、重置密码等。该数据安全策略方案结合规则模型、统计模型和关联模型,能够有效地检测和应对安全威胁。租户关注的规则组、置信度排序以及告警输出的标识,提高了规则模型的灵活性和可定制性。统计模型通过聚合分析和告警输出,能够发现异常行为和模式。关联模型则帮助识别事件之间的关系,及时发现潜在的安全风险。整体策略方案有助于提升数据安全性,并快速响应和处理安全事件。(十)邮件安全监测邮件内容采集:邮件采集imap和kafka传输。邮件内容采集开关和持久化存储,邮件用MinlO将接收,解
16、析后将邮件数据传到kafka,经规则模型分析后在输出分析检测结果。离线邮件检测:离线邮件邮件eml文件用MinIo将接收,解析后将邮件数据传到kafka,引擎检测完成后由kafka回传邮件检测结果给学校。邮箱暴露面治理及弱口令账户识别:探测企业暴露的邮箱账户,被动方式实现活跃邮箱账户的采集及暴露面管理。识别邮箱账户的弱口令、安全配置等防护弱点,进行邮箱弱口令识别。邮件监测算法:(1)行为算法识别仿冒用户、仿冒域名等身份伪造行为,仿冒用户、仿冒域名可信识别数占该算法检出率的50%及以上;(2)特征算法:算法能有效识别邮件内的恶意信息,识别准确率90%以上。邮件威胁情报能力:邮件威胁情报包括但不限
17、于URL、域名、恶意文件hash、邮箱地址、恶意QQ、恶意IP、恶意手机号、恶意图片等信息,能够对接中资情报系统实现情报检索和输出。邮件内容关联分析检索:(1)支撑安全运营。包括统计模型、关联分析模型,主题相似度检测聚合、异常域名相似度聚合检测,相同主题不通收发件人的聚合统计模型;(2)行为算法和特征算法的关联模型构建,比如仿冒用户名统计模型结果和邮件内容里存在可能的恶意特征信息等进行关联分析。邮箱安全网关产出安全事件在数据中台的接入:(1)对邮箱安全网关产出安全事件在数据中台的解析接入;(2)实现对网关告警的原始邮件解析并检测分析。(十一)托管方运营管理可查看告警运营台账、漏洞运营台账;台账
18、包含历史告警总数、研判告警总数、规则过滤告警总数;台账包含不同告警等级的告警数量;台账包含应急响应次数。查看每个项目所处理的节点;查看项目的交付全过程,包括调研、启动、实施、汇报等重要节点;创建学校和创建合同,并录入学校和合同的详细信息;为不同的项目指定相关的运营人员;对运营团队的管理;可创建多级运营中心;运营人员可查看其服务的学校端信息。(十二)报告管理可通过拖拽方式创建报告模板;可为租户设置报告订阅;可查看推送给学校的服务报告;可根据模板生成安全运营报告。学校可订阅漏洞报告、攻防咨询等威胁情报;可通过邮件、公众号等方式推送威胁情报。可通过配置调整平台菜单;可对不同的运营角色设置不同的平台权
19、限;可以新增不同的运营角色;多种消息模板的配置和推送,钉钉、短信、微信、邮件等服务消息推送方式;每个租户有不同的密钥进行租户数据加密;对平台的各种操作通过审计日志进行审计;可对平台logo、名称、报告logo进行自定义配置。(十三)多端操作展示运营端、租户端、移动端信息展示。(十四)数据中台数据源管理:ZOoKeePer、MySQL、Kafka、SysLogClickhouseElasticSearch等数据源接入;可通过数据源名称、地址查询接入的数据源;可对数据袁进行链接测试、数据表查询;字典管理:对系统中使用到的各种字典数据进行管理和维护的功能。包括字典的增删改查操作,字典项的添加、编辑和
20、删除,以及字典数据的导入和导出等。通过字典管理,可以方便地管理系统中使用的静态数据,如国家、地区、行业分类等,以及动态数据,如配置项、参数等。集群管理:对系统中的集群资源进行管理和监控的功能。包括集群的创建、配置和扩展,节点的添加和移除,资源的分配和调度,以及集群状态的监控和报警等。通过集群管理,可以有效地管理和利用集群资源,提高系统的可伸缩性和性能。插件管理:插件管理是指对系统中的插件或扩展模块进行管理和配置的功能。包括插件的安装、升级和卸载,插件参数的设置和调整,以及插件状态的监控和管理等。业务管理:对系统中的业务逻辑和业务流程进行管理和配置的功能。包括业务流程的设计和定义,业务规则的配置
21、和管理,以及业务数据的处理和分析等。通过业务管理,可以根据实际需求灵活配置系统的业务逻辑,实现定制化的业务流程和规则。任务调度:任务调度是指对系统中的各类任务进行管理和调度的功能。包括任务的创建、配置和调度计划的设置,任务执行结果的监控和报告,以及任务的停止和重新调度等。通过任务调度,可以自动化地执行和管理系统中的各种任务,提高工作效率和准确性。数据服务管理:对系统中的数据服务进行管理和配置的功能。包括数据服务的定义和注册,数据服务的访问权限和安全策略的配置,以及数据服务的监控和性能优化等。通过数据服务管理,可以提供统一的数据访问接口和服务,保障数据的安全性和可靠性,提升数据服务的效率和性能。
22、数据采集:包括原始日志、资产数据、漏洞扫描数据、全流量检测告警日志、暴露面扫描数据、组织架构数据等数据采集。数据处理:包括元数据管理、数据清洗、数据标准化、数据降噪、数据关联分析能力。数据存储:包括关系型数据库存储、分布式文件存储和对象存储。包含安全运营数据流程库、业务库、知识库、基础库的构建。数据处理:对安全告警等数据进行数据进行规范化处理,使其符合平台既定的数据结构。数据清洗:对数据一致性、无效值和缺失值进行数据清晰。通过清洗规则对这些数据进行清洗,提升分析结果的准确性。离线数仓:汇聚安全核心数据,南向定义标准的数据接入接口,北向向上层安全服务开发平台提供核心数据。在数仓中主要包括两块内容
23、,一部分是平台核心业务的标准化数据,需要通过标准的数据格式与接口进行提交;另外一种基于应用注册的标准数据格式,进行应用数据标准化存储。全文检索:对数据仓库的检索服务,用于支撑应用平台对数据的查询操作模块数据分析:包括安全事件分析、资产风险分析、风险指标分析、多维数据关联分析等。(十五)安全中台各类安全设备如态势感知、主机安全、流量探针、漏洞扫描、资产扫描、暴露面扫描等安全设备的接入和托管;对接威胁情报平台,将威胁情报同告警日志进行聚合分析,分析安全事件;威胁分析引擎:以安全事件分析引擎为核心,以各设备安全日志接入为输入,综合分析安全态势和安全事件;作为安全运营流程的核心引擎,对项目管理、运营管
24、理、服务管理流程进行可视化编排。(十六)业务中台提供APl网关、产品管理、消息中心、日志中心、流程中心、服务治理、计划任务调度、用户体系等业务中台能力。(十七)能力中台暴露面检测能力:对授权资产域名在互联网上暴露的开放的包括但不限于子域名、IP段、高危漏洞指纹信息、高危PoC探测等资产等敏感信息进行搜集和梳理,并将暴露面信息整理后发送至学校。资产探测能力:互联网暴露面检测、原有台账核对、用户自主上报、其他安全工具扫描等方式对资产进行全面的探测与识别与梳理,协助建立资产管理台账,用户可持续更新资产责任人信息威胁监测能力:可监测网络安全状态,持续分析检测接收到的信息和行为并进行保存,从各个维度的信
25、息中发现漏洞、弱密码等安全风险和WebSheIl写入行为、异常登录行为、异常网络连接行为、异常命令调用等异常行为,并可通过微信、钉钉、邮件等方式告知用户。事件处置能力:安全事件后,主动通知获取学校授权后立刻采取行动,借助本地或远程部署的相关安全工具完成查杀、封锁等处置。对于服务套餐外的资产,提供查杀方法和处置建议。漏洞管理能力:通过自动化扫描工具,对目标网站服务器、系统服务器、网络设备、安全设备等进行自动化安全扫描进行漏洞扫描、软件漏洞扫描、端口及服务探测、弱口令扫描等,提前发现系统可能存在的各类安全风险,可协助对相关责任人进行通报,并提供修复建议,并定期跟进修复情况,实现漏洞全生命周期管理策
26、略分析能力:对安全工具上的安全策略进行优化,确保安全工具上的安全策略始能够发挥出最佳防护效果应急响应管理:通过远程和现场的形式协助学校对遇到的突发性安全事件进行紧急分析和处理。主要工作内容包括:突发事件相关信息的收集、事件的分析、报告提交、问题解决建议等。紧急事件主要包括:勒索病毒、病毒和蠕虫事件、黑客入侵事件、数据泄露、挖矿事件等。(十八)分析中心蓝队视角攻击点分析模型:(1)可通过数据和攻击网络方式呈现被攻击资产,被攻击资产风险评分,对应的告警时间,相关资产的重要程度、是否内网资产,以及本节点对应的关联IP数量;(2)可查询攻击点受攻击的告警类型、告警子类型、告警数、事件数、关联IP和告警
27、详情;(3)通过攻击网络视图呈现攻击者、受害者之间的攻击路径,关联节点,以及对应节点的告警时段、资产名称、威胁评分、威胁等级、告警类型、告警数量、SLA响应等级、关联IP地址数、攻击结果;(4)可通过IP检索被攻击者的网络拓扑;攻击线性关系分析模型:(1)可通过数据和攻击网络方式呈现被攻击资产、受害者之间的关联关系,被攻击资产风险评分,对应的告警时间,相关资产的重要程度、是否内网资产,以及本节点对应的关联IP数量;(2)可查询攻击者-受害者之间的关系:攻击者、受害者、告警数量、一级威胁、二级威胁、三级威胁”攻击成功次数、攻击尝试次数、攻击失败次数、告警数量;(3)通过攻击网络视图呈现攻击者-受
28、害者之间的攻击路线,关联节点、攻击链,以及对应节点的告警时段、资产名称、威胁评分、威胁等级、告警类型、告警数量、SLA响应等级、攻击结果;(4)可通过IP检索被攻击者的网络拓扑;攻击网分析:(1)可以一个受害资产为中心,构建全息的攻击网络信息;(2)通过全息攻击网络信息,可查看资产的攻击路线图;(3)通过攻击网,可以图形方式呈现被攻击节点和网络内所有关联节点之间的攻击链,以及对应节点的告警时段、资产名称、威胁评分、威胁等级、告警类型、告警数量、SLA响应等级、攻击结果;攻击手段分析:可对学校各类资产被攻击的手段进行统计分析,不少于50种攻击手段的分析。攻击路径分析:通过受害者IP,可快速检索出
29、,受害资产的攻击网络及攻击详情。蓝方视角分析配置:通过配置告警类型和权重,对攻击点、攻击线、攻击网关联分析模型进行参数调整和模型调优。(十九)分析中心红队视角攻击点分析模型:(1)可通过数据和攻击网络方式呈现攻击者信息,攻击者风险评分,对应的告警时间,相关资产的重要程度、是否内网资产,以及本节点对应的关联IP数量;(2)可查询攻击者的告警类型、告警子类型、告警数、事件数、关联IP和告警详情;(3)通过攻击网络视图呈现攻击者、受害者之间的攻击路径,关联节点,以及对应节点的告警时段、资产名称、威胁评分、威胁等级、告警类型、告警数量、SLA响应等级、关联IP地址数、攻击结果;(4)可通过IP检索被攻
30、击者的网络拓扑;攻击线性关系分析模型:(1)可通过数据和攻击网络方式呈现攻击者、受害者之间的关联关系,对应的告警时间,相关资产的重要程度、是否内网资产,以及本节点对应的关联IP数量;(2)可查询攻击者-受害者之间的关系:攻击者、受害者、告警数量、一级威胁、二级威胁、三级威胁、SLA总分、威胁总分、SLA均值、威胁均值、是否高危/中危/低危攻击者;(3)通过攻击网络视图呈现攻击者-受害者之间的攻击路线,关联节点、攻击链,以及对应节点的告警时间、资产重要程度、告警数量、SLA响应等级、攻击结果、攻击者威胁总分;(4)可通过IP检索攻击者的网络拓扑;攻击网分析模型:(1)可以一个攻击者为中心,构建全
31、息的攻击网络信息;(2)通过全息攻击网络信息,可查看资产的攻击路线图;(3)通过攻击网,可以图形方式呈现被攻击节点和网络内所有关联节点之间的攻击链,以及对应节点的告警时段、资产名称、威胁评分、威胁等级、告警类型、告警数量、SLA响应等级、攻击结果;攻击手段分析:可攻击者的攻击的手段进行统计分析,不少于50种攻击手段的分析。攻击路径分析:通过攻击者IP,可快速检索出,所攻击资产的攻击网络及攻击详情。红方视角分析配置:通过配置告警类型和权重,对攻击点、攻击线、攻击网关联分析模型进行参数调整和模型调优。四、技术指标序号技术指标指标内容1资产管理模块1、支持资产导入、导出;2、支持对资产进行标定,标定
32、内容包括:资产名称、重要程度、资产类型、IP地址、是否互联网暴露、资产类型;3、支持对资产进行分组,可通过资产标签对资产划分资产组;4、支持对资产进行打标,支持至少30种类扫描器标签的识别;5、可对资产增加自定义标签。2漏洞管理模块1、支持Web漏洞、主机漏洞管理;2、支持漏洞详情查看、漏洞CVE、CVND编号;3、支持对漏洞给出修复建议;4、支持查看漏洞POC和数据包。3暴露面管理模块1、支持暴露面扫描功能;2、可查看域名、IP暴露面、攻击面;3、可查看暴露面IP、端口、归属地、状态码、命中指纹、响应报文;4、可查看、导出暴露面检测报告;5、可检查暴露面的POC命中数。4分析模型模块1、可创
33、建威胁分析模型;2、可创建规则模型、统计模型、关联模型;3、可设置全局分析模型和自定义分析模型;4、可设置学校白名单,通过白名单过滤相关告警。5策略编排模块1、可设置全局策略和自定义策略;2、可设置告警策略和白名单策略;3、可设置策略对应的告警等级;4、可调整策略相关置信度;5、可根据MSS场景设置不同的策略组;6、可定义全局策略组、自定义策略组。6托管方管理模块1、支持查看每个项目所处理的节点;2、支持查看项目的交付全过程,包括调研、启动、实施、汇报等重要节点;3、支持创建学校和创建合同,并录入学校和合同的详细信息;4、支持为不同的项目指定相关的运营人员;5、支持对运营团队的管理;6、可创建
34、多级运营中心;7、运营人员可查看其服务的学校端信息。7报告管理模块1、可通过拖拽方式创建报告模板;2、可为租户设置报告订阅;3、可查看推送给学校的服务报告;4、可根据模板生成安全运营报告。(以上提供截图证明、提供演示视频)8情报订阅模块1、学校可订阅漏洞报告、攻防咨询等威胁情报;2、可通过邮件、公众号等方式推送威胁情报。(以上提供截图证明、提供演示视频)9系统管理模块1、可通过配置调整平台菜单;2、可对不同的运营角色设置不同的平台权限;3、可以新增不同的运营角色;4、支持多种消息模板的配置和推送,支持钉钉、短信、微信、邮件等服务消息推送方式;5、每个租户有不同的密钥进行租户数据加密;6、对平台
35、的各种操作通过审计日志进行审计;7、可对平台IOg0、名称、报告log。进行自定义配置。10多端展示模块支持运营端、租户端、移动端信息展示11统集中管控模块数据采集:包括原始日志、资产数据、漏洞扫描数据、全流量检测告警日志、暴露面扫描数据、组织架构数据等数据采集。数据处理:包括元数据管理、数据清洗、数据标准化、数据降噪、数据关联分析能力。数据存储:包括关系型数据库存储、分布式文件存储和对象存储。包含安全运营数据流程库、业务库、知识库、基础库的构建。离线数仓:汇聚安全核心数据,南向定义标准的数据接入接口,北向向上层安全服务开发平台提供核心数据。在数仓中主要包括两块内容,一部分是平台核心业务的标准
36、化数据,需要通过标准的数据格式与接口进行提交;另外一种基于应用注册的标准数据格式,进行应用数据标准化存储。全文检索:对数据仓库的检索服务,用于支撑应用平台对数据的查询操作模块数据分析:包括安全事件分析、资产风险分析、风险指标分析、多维数据关联分析等;安全设备管理:各类安全设备如态势感知、主机安全、流量探针、漏洞扫描、资产扫描、暴露面扫描等安全设备的接入和托管;威胁情报管理:对接威胁情报平台,将威胁情报同告警日志进行聚合分析,分析安全事件;威胁分析引擎:以安全事件分析引擎为核心,以各设备安全日志接入为输入,综合分析安全态势和安全事件;流程编排管理:作为安全运营流程的核心引擎,对项目管理、运营管理
37、、服务管理流程进行可视化编排;APl网关:实现APl的路由和流量管理产品管理:服务上架的产品注册、统一管理和配置消息中心:短信消息、邮件发送、微信公众号、钉钉及推送等统一消息服务日志中心:平台服务日志、操作日志、日系统日志管理流程中心:工作流模板、工作流编辑器、工作流引擎服务治理:服务注册、服务网关、调用链监控和服务熔断等计划任务调度(计划执行器):工作流中的任务调度,包括任务的创建、任务触发和任务状态维护和流转用户体系:平台用户、角色及权限管理和配置暴露面检测能力:对授权资产域名在互联网上暴露的开放的包括但不限于子域名、IP段、高危漏洞指纹信息、高危POC探测等资产等敏感信息进行搜集和梳理,
38、并将暴露面信息整理后发送至学校。资产探测能力:互联网暴露面检测、原有台账核对、用户自主上报、其他安全工具扫描等方式对资产进行全面的探测与识别与梳理,协助建立资产管理台账,用户可持续更新资产责任人信息威胁监测能力:可监测网络安全状态,持续分析检测接收到的信息和行为并进行保存,从各个维度的信息中发现漏洞、弱密码等安全风险和Webshell写入行为、异常登录行为、异常网络连接行为、异常命令调用等异常行为,并可通过微信、钉钉、邮件等方式告知用户。事件处置能力:安全事件后,主动通知获取学校授权后立刻采取行动,借助本地或远程部署的相关安全工具完成查杀、封锁等处置。对于服务套餐外的资产,提供查杀方法和处置建
39、议漏洞管理能力:通过自动化扫描工具,对目标网站服务器、系统服务器、网络设备、安全设备等进行自动化安全扫描进行漏洞扫描、软件漏洞扫描、端口及服务探测、弱口令扫描等,提前发现系统可能存在的各类安全风险,可协助对相关责任人进行通报,并提供修复建议,并定期跟进修复情况,实现漏洞全生命周期管理策略分析能力:对安全工具上的安全策略进行优化,确保安全工具上的安全策略始能够发挥出最佳防护效果应急响应管理:通过远程和现场支持的形式协助学校对遇到的突发性安全事件进行紧急分析和处理。主要工作内容包括:突发事件相关信息的收集、事件的分析、报告提交、问题解决建议等。紧急事件主要包括:勒索病毒、病毒和蠕虫事件、黑客入侵事
40、件、数据泄露、挖矿事件等。默认包含2次上门应急响应服务12攻防演练模块(分析中心)-蓝队视角TOPlO受害者目标事件分析:通过可视化攻击图谱展示TOPlO受害目标事件分布,分析受害者IP、对应攻击类型和攻击者IP安全告警趋势分析:通过可视化方式呈现所选择范围内的告警趋势受害者告警量ToPIO分析:通过分析引擎分析所运营学校受害者TOPlO的资产,可查看资产IP、被攻击告警数量和攻击占比攻击点分析模型:1、可通过数据和攻击网络方式呈现被攻击资产,被攻击资产风险评分,对应的告警时间,相关资产的重要程度、是否内网资产,以及本节点对应的关联IP数量;2、可查询攻击点受攻击的告警类型、告警子类型、告警数
41、、事件数、关联IP和告警详情;3、通过攻击网络视图呈现攻击者、受害者之间的攻击路径,关联节点,以及对应节点的告警时段、资产名称、威胁评分、威胁等级、告警类型、告警数量、SLA响应等级、关联IP地址数、攻击结果;4、可通过IP检索被攻击者的网络拓扑攻击线性关系分析模型:1、可通过数据和攻击网络方式呈现被攻击资产、受害者之间的关联关系,被攻击资产风险评分,对应的告警时间,相关资产的重要程度、是否内网资产,以及本节点对应的关联IP数量;2、可查询攻击者-受害者之间的关系:攻击者、受害者、告警数量、一级威胁、二级威胁、三级威胁、攻击成功次数、攻击尝试次数、攻击失败次数、告警数量;3、通过攻击网络视图呈
42、现攻击者-受害者之间的攻击路线,关联节点、攻击链,以及对应节点的告警时段、资产名称、威胁评分、威胁等级、告警类型、告警数量、SLA响应等级、攻击结果;4、可通过IP检索被攻击者的网络拓扑攻击网分析:1、可以一个受害资产为中心,构建全息的攻击网络信息;2、通过全息攻击网络信息,可查看资产的攻击路线图;3、通过攻击网,可以图形方式呈现被攻击节点和网络内所有关联节点之间的攻击链,以及对应节点的告警时段、资产名称、威胁评分、威胁等级、告警类型、告警数量、SLA响应等级、攻击结果。攻击手段分析:可对学校各类资产被攻击的手段进行统计分析,支持不少于50种攻击手段的分析攻击路径分析:通过受害者IP,可快速检
43、索出,受害资产的攻击网络及攻击详情蓝方视角分析配置:通过配置告警类型和权重,对攻击点、攻击线、攻击网关联分析模型进行参数调整和模型调优13攻防演练模块(分析中心)-红队视角ToPlO攻击目标事件分析:通过可视化攻击图谱展示TOPlo攻击者、攻击类型分布、受害者IPo告警趋势分析:通过可视化方式呈现所选择范围内的攻击者趋势攻击者告警量TOPlO分析:通过分析引擎分析所运营学校TOPlo的攻击者,可查看攻击者IP、告警数量和此攻击者产生的告警占比攻击点分析模型:1、可通过数据和攻击网络方式呈现攻击者信息,攻击者风险评分,对应的告警时间,相关资产的重要程度、是否内网资产,以及本节点对应的关联IP数量
44、;2、可查询攻击者的告警类型、告警子类型、告警数、事件数、关联IP和告警详情;3、通过攻击网络视图呈现攻击者、受害者之间的攻击路径,关联节点,以及对应节点的告警时段、资产名称、威胁评分、威胁等级、告警类型、告警数量、SLA响应等级、关联IP地址数、攻击结果;4、可通过IP检索被攻击者的网络拓扑攻击线性关系分析模型:1、可通过数据和攻击网络方式呈现攻击者、受害者之间的关联关系,对应的告警时间,相关资产的重要程度、是否内网资产,以及本节点对应的关联IP数量;2、可查询攻击者-受害者之间的关系:攻击者、受害者、告警数量、一级威胁、二级威胁、三级威胁、SLA总分、威胁总分、SLA均值、威胁均值、是否高
45、危/中危/低危攻击者;3、通过攻击网络视图呈现攻击者-受害者之间的攻击路线,关联节点、攻击链,以及对应节点的告警时间、资产重要程度、告警数量、SLA响应等级、攻击结果、攻击者威胁总分;4、可通过IP检索攻击者的网络拓扑攻击网分析模型:1、可以一个攻击者为中心,构建全息的攻击网络信息;2、通过全息攻击网络信息,可查看资产的攻击路线图;3、通过攻击网,可以图形方式呈现被攻击节点和网络内所有关联节点之间的攻击链,以及对应节点的告警时段、资产名称、威胁评分、威胁等级、告警类型、告警数量、SLA响应等级、攻击结果。攻击手段分析:可攻击者的攻击的手段进行统计分析,支持不少于50种攻击手段的分析攻击路径分析:通过攻击者IP,可快速检索出,所攻击资产的攻击网络及攻击详情红方视角分析配置:通过配置告警类型和权重,对攻击点、攻击线、攻击网关联分析模型进行参数调整和模型调优14联动适配需要和网络安全教学仿真平台为同一品牌以满足不同实训室实训课程体系衔接连贯性15售后服务支持提供3年免费维护;提供安装调试后1天本地操作培训;提供24小时支持热线;本地应急响应时间W2小时;