态势感知与安全运营平台（NGSOC）

适用场景

场景一：大数据日志审计。NGSOC可以通过日志采集探针通过Syslog、WMI、JDBC、Log File、FTP、WebService等方式对设备日志进行采集，并对采集数据进行归一化、富化等预处理。用户可以在分析平台上对采集到的原始日志和解析日志进行查询、统计、关联分析等处理使用。与此同时，NGSOC对用户网络资产的日志进行统一的采集、存储和使用，能够让存量资产符合《网络安全法》及配套法规要求。

场景二：资产管理与风险展示。用户网络中缺少对已经存在的网络设备资产、安全设备资产、服务器资产、存储资产、终端防护系统资产等资产的统一管理平台，需要对包括资产类型、厂商、型号、系统类型、责任人、责任域等进行统一管理。同时还需要发现超出现有管理资产范围的未被管理到的资产，以纳入管理系统来，防止出现未知的信息安全风险。对于发现的资产所存在的漏洞要能够以资产的视角来进行统一管理，做到漏洞可发现，解决过程可跟踪，结果可统计，漏洞态势可感知的漏洞闭环管理。NGSOC可以通过多种方式对资产进行信息采集，包括手工录入、外部资产列表导入、对接奇安信资产探查系统自动扫描发现、通过天擎终端发现等，通过NGSOC可以直观的对资产情况进行掌握。

场景三：网络安全态势感知。由于内网环境中资产类型多、数据种类多、数据量大、对象行为复杂，安全管理者要想既能直观、实时地掌握全局安全威胁态势，又能快速检阅单一资产的安全状态细节，需要平台能根据用户实际的安全运营的需求分不同应用场景对重点资产、重点威胁事件进行可视化呈现。NGSOC可提供七个展示内网态势感知的大屏视图：资产风险态势视图、外部威胁态势感知、内网威胁态势感知、全网漏洞态势、业务资产主动外连态势、安全运营态势、威胁预警态势，分别从不同的安全运营角度对网络安全态势进行呈现。

场景四：威胁事件捕获。传统的安全技术对已知的攻击（已具备特征库的攻击）能起到较好的检测效果，但对于高级持续性威胁（APT）或者一些复杂的内部违规行为的判定就无能为力了。针对当前互联网威胁的这一现状，NGSOC将威胁的自动检测方案放到了以下几个关键点：1.将传统安全设备或系统的安全告警作为参考数据，但不作为行为研判的唯一标准。充分利用原始的网络流量、主机行为日志等数据对原始行为进行记录和分类；2.充分利用威胁情报，从原始的网络行为和主机行为中去捕获跟恶意组织相关的各种痕迹；3.当发现可疑行为后，平台将主动对行为相关的资源对象，如：账号、攻击源IP、资产、文件等，在历史数据中进行多维度回溯分析，同时对关联对象的将来行为进行持续跟踪；4.平台将关联行为组合在一起后，再对行为链进行综合研判，分析攻击者的企图、手段以及受害范围，再利用EDR进行处置和防御。

场景五：事件调查（线上、线下）。自动的行为链检测可以对数据进行快速分析汇聚，提高分析效率，但对于复杂的场景或者对无明显恶意特征的行为进行定性分析仍然需要专业的安全分析人员以及网络管理人员等的参与。NGSOC的事件调查功能就是专门面向安全分析人员、网络管理人员的数据调查工具。包含了安全攻防类、行为管理类、内控内审类和网络故障类。安全分析人员在进行数据调查时需要能快速的对全量数据进行检索，找到可疑的内容并进行分类和备注，同时可以对不同的类型的数据进行多种条件的关联和快速统计，从中发现潜在的威胁行为。

部署方式

在企业网络中NGSOC的部署方式如下图所示。