FortiSIEMVCNPPT课件

FortiSIEM统一风险管理平台 Fortinet郭海山 Fortinet公司简介 Fortinet公司概况 安全领导厂商 全球第三大安全供应商 UTM魔力象限图 领导者 自2009年 GartnerUTM魔力象限图 安全领导厂商 Gartner企业防火墙魔力象限图 2013年度全球安全产品销量排名 全球财富100强中的61家全球10大金融机构中的9家全球10大电信运营商中的7家全球10大航空航天及国防机构中的9家 众多蓝筹用户 国内用户 1 运营商中国移动中国联通中国电信华数集团江苏广电湖北广电深圳广电辽宁广电 金融中国建设银行中国民生银行北京银行中国人保天安保险中信集团海通证券招商证券 国内用户 2 能源中国石化中国石油国电南方公司三峡集团湖南石化长庆油田重庆电力湖北电力山西电力四川电力 企业中国国际航空公司中国远洋集团海尔TCL腾讯网新浪网唯品会三峡集团DHL首都机场 国内用户 3 零售及商业机构华联超市苏宁电器国美电器家乐福百胜集团迪卡侬雅诗兰黛中原地产 教育北京大学清华大学北京师范大学北京科技大学国防大学南京航空航天大学中山大学 极高的行业认可度 FortiSIEM简介 FortiSIEM是以风险为核心的系统 11FortinetConfidential 风险是威胁利用漏洞影响到资产安全的可能性 信息安全管理的实质就是管理风险 挤压风险需要从三个维度共同发力 FortiSIEM统一风险管理平台 12FortinetConfidential FortiSIEMURM UnifiedRiskManagement 是将企业核心资产 安全威胁事件和脆弱性漏洞管理相结合 利用大数据安全智能分析 迅速甄别关键威胁并做出智能响应和持续的合规性扫描检测 实现企业级安全风险评估 安全事件甄别 合规审计的统一风险管理平台 内置默认仪表盘 提供事前 事中和事后的全局安全视图 第一时间从漏洞分布 安全事件趋势等多角度综合了解企业的整体安全态势 基于关键风险指标 KRI 的用户自定义报表配置 提供丰富灵活的合规性报表功能 支持用户自定义报表 帮助满足合规性监管要求 跟踪重要事件和威胁 建立安全风险事件的识别 分析 告警和整改的闭环处理流程 结合资产和漏洞对安全事件提供实时 In Memory 多维关联分析 预置多种关联分析规则的关联引擎 过滤大量事件 甄别出少量可能成功的攻击行为 整合并集中调度企业内部的安全扫描资源 实现扫描任务的集中管理 负载均衡和扫描结果合并 扫描结果的对比合并 实现面向资产脆弱性的主动检测和实时合规性监控 安全事件 日志的实时采集与格式化 结合Hadoop实现安全事件的分布式大数据存储 单台LogCollector可达到13W条 秒 400Mbps 支持采集性能和存储能力的动态扩展 识别 分类和评估企业核心资产价值 将区域 安全事件和漏洞等属性与资产管理相结合 实现面向风险的资产管理 13FortinetConfidential 防病毒 防DDOS WAF 主机漏洞扫描 WEB漏洞扫描 网页敏感词检测 FortiSIEM 端口扫描 网页防篡改扫描 防火墙 入侵检测 FortiSIEM概览 事件采集 关联分析 扫描平台 扫描任务调度 报表展现 资产管理 安全评估 工作流任务 资产管理 15FortinetConfidential 以资产为核心的风险管理 人工录入 手工导入 自动发现 脆弱性漏洞 安全威胁事件 按区域划分资产资产漏洞管理资产威胁分析资产价值设定以资产为核心的风险评估 FortiSIEMCentralMgr 资产管理页面 资产查询列表 资产漏洞分布 资产威胁趋势 日志收集 18FortinetConfidential 安全事件采集 功能特性 性能 600 Mbps 120 000 EPS存储 基于Hadoop的大数据存储 4 TB DataNode分布式部署 企业级扩展能力高质量审计级数据 满足合规性要求强大且易用的查询分析功能 支持的协议 SyslogSNMPFTP 采集的事件 安全事件网络事件访问控制应用程序 FortiSIEMCollector 采集来自各类安全设备的日志 对原始数据进行即时的泛化和聚合操作 从而为关联分析和大数据智能分析提供统一基础数据 19FortinetConfidential 已接入并支持的安全防护设备 FortiDB FortiWeb FortiGate SecPathIPS Virus LeadsecGuard LeadsecIDS EndpointProtection VontuNetworkMonitor 扫描平台 漏洞扫描平台 FortiSIEMScanEngine 统一管理和调度分布在全网的第三方安全检测设备 实现扫描任务 扫描策略和安全漏洞的集中管理 构建企业级脆弱性感知能力 并为关联分析和大数据智能分析提供全网脆弱性数据基础 主要优势统一扫描任务管理视图 屏蔽不同扫描器之间的策略差异实现扫描任务的负载均衡 扫描结果的资产关联使用CVE BugTraq等实现漏洞标准化不同扫描器扫描结果的自动去重合并企业漏洞库的集中管理 22FortinetConfidential 扫描任务管理页面 扫描策略 扫描任务 扫描结果 23FortinetConfidential 已接入并支持的安全检测设备 AppScan NSFocusRSAS M S5 0 NSFocusRSAS E5 0 Nessus5 0 Knownsec4 x 明鉴网站安全监测平台 关联分析 25FortinetConfidential 关联分析 FortiSIEMCorrelationEngine 根据资产 安全事件 漏洞三者之间的关系 智能分析多源海量数据 快速识别高危风险事件 根据预定义策略及时做出响应 实时In Memory关联分析内置高可用性关联分析规则基于策略的预定义响应行为自定义白名单根据特定事件自定义关联分析规则多种告警策略预定义 Email Syslog Ticket 26FortinetConfidential 资产 Diagram2 Diagram3 资产关联 Diagram2 Diagram3 事件 漏洞 漏洞与相关资产的属性进行关联 从而判断某个安全漏洞被利用的可能性 清单关联 通过查找安全事件目的资产的属性 判断是否和安全事件的攻击相匹配 来确认安全事件的可信度 交叉关联 对不同数据源的安全事件 漏洞进行交叉认证 从而确认安全事件的可信度 关联分析三种基本类型 27FortinetConfidential 逻辑关联分析 使用预定义规则对海量独立的原始时间进行过滤和聚合 发现事件之间的关联 提示安全事件的可信度 混合数据来源预定义规则灵活的时间区间定义递归架构的关联分析引擎 28FortinetConfidential 关联分析 通过将从各业务线条采集的资产脆弱性指标信息与平台自身扫描器发现的漏洞信息进行交叉关联 输出高可信度安全事件 IDS IPs 1 采集安全告警日志 发现针对业支统一域名系统发起的SQL注入攻击 如何验证攻击有效性 2 查询扫描平台漏洞库进行验证 3 开始扫描 发现SQL注入漏洞 交叉关联验证成功 产生告警安全事件 交叉关联引擎 主机或应用系统 交叉关联分析 29FortinetConfidential 交叉关联 即对不同数据源的安全事件进行交叉认证 从而确认安全事件的可信度 交叉关联验证成功 交叉关联分析 安全评估 基于KRI的安全评估计算 FortiSIEM通过计算KRI 关键风险指标 KeyRiskIndicator 来对所监测的系统进行安全风险评估 KRI计算以原始事件和漏扫结果作为数据支撑 并按照区域 部门或分公司进行分解 形成多维度的层级指标体系 例如资产脆弱性指标 威胁发展性指标 安全威胁性指标等 关键风险指标KRI计算 KRI KRI主要特点 风险可视 将不同种类安全事件进行分类汇总 形成树状风险指标层级结构定义灵活 根据用户需求灵活定义风险指标 适应不同网络场景性能优化 利用数据聚合技术多维度压缩原始事件 提高计算性能范围多样 支持不同范围的指标计算 如 全网 区域 网段 主机 网站 主要指标举例 33FortinetConfidential 风险监控 安全整改 35FortinetConfidential 安全整改流程 工作流程 威胁和资产脆弱性发现 FortiSIEM 扫描器 安全事件源设备 3 扫描任务下发 5 结果返回 4 执行扫描任务 管理员 1 制定工作流策略 7 结果展现 报警 6 关联分析 资产负责人 2 原始事件采集 工作流程 资产脆弱性整改 FortiSIEM 扫描器 安全事件源设备 11 扫描任务下发 13 结果返回 12 执行扫描任务 10 整改验证 15 结果展现 报警 14 整改结果比对 8 发起整改 资产负责人 9 整改完毕 管理员 多元化风险报表 39FortinetConfidential 多元化的风险报表 全面 高效 可定制的综合风险报表全面 能够对资产 漏洞 以及安全事件进行全方位的报表统计高效 支持预定义企业关键风险指标 KRI 满足企业长期快速统计需求可定制 用户可以自定义报表版式 满足不同角色使用者需求直观 直观的操作面板和权威报告预定义 内置预定义合规性 业务风险等缺省报表 便于企业级报告工作 FortiSIEMCentralMgr 40FortinetConfidential 自定义报表策略 自定义报表图表 41FortinetConfidential 自定义报表策略 自定义报表列表 42FortinetConfidential 自定义报表 工作流程 44FortinetConfidential FortiSIEM整体工作流程 系统架构 系统架构 46 基于Hadoop大数据的系统整体架构 47 FortiSIEM典型部署方式 48 FortiSIEMClusterComponentsCentralManagerCollector1Collector2 MySQLSlaveMySQLMasterHDNameNodeHDJobTrackerHive JMS MemcachedHDDataNodes 5 硬件 49 FortiSIEM项目案例 案例1 河北移动安全态势感知预警平台 51 预警感知平台集中部署 预警感知平台对各平台提供集中化的数据存储 业务流量监测分布在专业系统中进行流量采集 对各专业平台 工具提供接口 进行安全数据的存储和查询 各专业间 安全数据共享 脆弱性感知区专注外网脆弱性发现 主要设备性能测算 存储 根据集团公司要求 原始审计信息存储可以在线保存12个月 标准化处理后的审计信息 待审计信息应至少在线保存18个月 离线保存2年 满足集团最低要求的数据存储周期的基础上 过期数据定期及时清除 未来三年日志增长率定为年均10 并在最终估算结果上增加50 作为冗余 按第三年存储需求计算 存储总计所需 48782G 在线日志量所需裸存储量为48782G 考虑50 冗余系数 所需裸存储总量为 48782 1 5 1024 71T 按70T算 离线日志量所需磁带容量为 65042G 所需裸存储总量为 65042 1024 63 5T 按65T算 案例1 河北移动安全态势感知预警平台 53 FortiSIEM助力国内用户 54 中国移动通信研究院河北移动福建移动重庆移动物联网公司 FortiSIEM