态势感知(SIP)

SIP态势感知

一、SIP态势感知概述
1.业界标准
数据来源>智能分析>安全可视>协同响应
通过日志采集探针和流量传感器分别进行不同系统日志和流量日志的采集和处理任务
通过对海量数据进行多维度快速，自动化的关联分析发现本地的威胁和异常行为，并及时与终端管理系统和下一代防火墙进行联动
对威胁和异常行为进行处置。
组件：
分析平台：负责对数据的汇总、分析、呈现
流量传感器；负责旁路部署在网络中，对流量进行采集
日志采集探针：日志采集必要组件，归一化日志传给平台分析
关联引擎：补充组件，当日志很大的时候通过此独立的关联引擎去做历史规则回溯
沙箱：补充组件，文件杀毒+沙盒。
2.产品定位
SIP深信服态势感知产品名为安全感知平台：旁路部署
功能：精准检测 全局可视 协同响应
摄像头——STA
监控中心——SIP
告警——可视化
核心模块 UEBA行为画像
结合威胁情报
3.产品组件（1）
潜伏威胁探针 ：
全流量采集
基础威胁检测
实时漏洞分析
元数据提取
安全感知平台：
大数据架构
计器学习算法
Flow行为分析引擎
用户行为建模
安全云脑：
威胁情报
云端智能分析
规则模型
产品组件（2）
STA（标配):用于收集镜像流量，识别出威胁以及审计数据，SIP安全事件生成，主要依赖STA的上传数据。
NGAF:AF的的安全日志和应用控制日志上传至SIP，并且可以通过SIP下发联动封锁和访问控制，对风险主机以及发起互联网攻击的IP进行封堵。
EDR： SIP可收集EDR的安全日志，通过SIP下发联动封锁。访问控制，一键查杀和进程取证对SIP上发现的安全事件进行闭环。
云脑： SIP与云脑互动，SIP将灰度威胁情报上传至云脑，云脑进行分析是否有威胁后将结果回传SIP。
MSSP： SIP对接MSSP，云端安全专家可以对SIP上的安全事件进行人工分析，将误报事件即时删除。
AC： 将AC接入SIP可上传用户认证信息，用于对动态ip环境的用户进行定位，并可下发策略对风险终端进行账号冻结和上网提醒。
SSL： 定位用SSL接入的风险用户，用户需要使用虚拟IP访问业务才能定位。
4.核心能力
全网资产梳理
脆弱性识别
高级威胁检测
异常行为发现
攻击溯源取证
自动化编排响应
整体安全态势感知
综合风险报告
5.三大体系
脆弱性：以业务资产为核心，寻找暴露面
外部攻击
内部异常

二、功能简介

1.监控中心
监控中心用于显示全网的安全事件总览
挖矿专项检测
2.大屏可视
linux系统启动流程
3.处置中心
用户查看当前网络中存在的风险主机（服务器。PC终端）以及网络上存在的安全事件。
高级威胁检测 异常行为检测
基于人工智能的SAVE引擎
具有泛化能力 不依赖于云端能力
节约带宽成本，不会产生更新带来的网络风暴
内存占用小
失陷确定性
威胁等级
4.分析中心
分析中心包括了外部，横向，外联三个方向的安全与访问关系
威胁分析 访问分析 日志检索 情报分析 SIEM分析系统 行为分析（EBA）
5.资产中心
资产识别是STA探针产品的重要功能，帮用户1梳理资产，识别风险资产。
6.报告中心
安全风险报告
安全告警
7.联动响应
接入深信服NGAF,EDR,AC产品，实现联动响应。快速封锁问题IP或攻击源，主机隔离，病毒查杀，避免势态升级。

三、上架部署

1.安全感知平台最常见的部署模式为单臂部署
内外网IP地址段不要冲突
直连设备eth0口访问https：//10.251.251.252 默认账号密码为admin/admin
平台序列号检查，在项目中确保开启授权
在非eth0口时需要先启用网口
在对应网口上接入网线，并使网口灯亮起
*切勿将所有网口禁用，将无法登录控制台
2.接入部署
当需要限制登录IP地址，则配置需要登录SIP的地址的明细路由，默认路由配置为黑洞路由
检测效果受镜像流量影响，探针接收的镜像流量的优先顺序
接入交换机流量>汇聚交换机流量>核心交换机流量
登录 STA 直连设备管理口 访问https：//10.251.251.251 (不能删除与修改）
STA 访问SIP的TCP443，TCP4430，TCP4488端口
STA访问SIP的TCP 4488 端口进行特征库的更新
高级模式 占用带宽多
AC不上传用户行为日志记录
AC与SIP联动 账号同步 还可以弹窗提醒，账号冻结
只有客户开启使用L3VPN资源才会分配ip
3.多分支级联及集群场景部署
只支持IP范围模式
下级只会上传资产信息和已经分析过的事件信息，不会上传日志
上级平台无需配置，只需要下级平台访问上级平台TCP7443
集群
配置子节点

• 解散集群会丢失数据*

四、常用功能使用

1.安全事件查看
风险业务视角与风险终端视角：是通过一台主机的角度展示其存在的安全事件。
安全事件视角：是通过安全事件的角度展示哪些主机存在安全事件。
风险安全域视角：是将内网划分为多个区域，检查每个区域的安全情况，发现安全薄弱的区域。
自动响应策略：是SIP检查出安全事件时，可自动下发联动策略到接入AC/AF/EDR行问题闭环
处置记录：是统一存放已经处置的安全事件/主机。
存在漏洞：为事前阶段
是指检测到服务器的漏洞风险的情况
遭受攻击：为事中阶段
是指被横向或者外部的攻击
C&C及后续阶段为：事后阶段
主机已经被拿下，向内网或者外网发起攻击或异常连接行为
入口点溯源
2.威胁分析与访问分析功能
违规访问 可疑行为 风险访问
3.通报预警功能
标准化版本不支持手动将处置中心中的安全事件转到通报预警中心里待通信事件
归档 审核 重新下发
4.联动AC功能
SIP联动AC可以分为手动联动与自动联动，手动联动是在人工分析后进行联动，自动联动通过事先配置策略当检测到对应的安全事件时，SIP下发联动策略进行联动。
支持功能
AC在线用户信息：动态IP获取环境，通过同步AC的用户定位终端用户。
上网提醒
用户冻结
如果AC设备是路由模式部署，SIP设备在ACwan口方向，需要开放TCP9998端口。
网桥模式或旁路模式不需要此项配置
5.联动AF功能
支持手动或自动发下联动封锁策略。
访问控制与联动封锁的区别是，联动封锁直接将IP给阻断，包括所有的端口，而访问控制是基于五元组的ACL封锁。
6.联动EDR功能
支持功能
EDR日志同步
联动封锁
一键查杀
访问控制
进程取证：对主机访问的恶意域名进行取证，可定位到访问该域名的子进程，父进程的详细信息。