文档中心

云安全中心SOC用户指南

最近更新时间：

1 产品介绍

1.1 什么是云安全中心

云安全中心产品致力于在多云场景下，为用户提供一体化的安全运营，通过异构的数据采集与接入，针对各种资产类型进行集中安全管理，并构建“防范+检测+响应”三位一体的安全运营闭环体系。

并通过多维度的安全可视化技术为用户进行安全态势全方位呈现和展示，满足各种场景下安全运营与等保合规需求。

产品定位：

• 一站式多云安全管理

为用户提供多云安全事件接入、异构资源纳管、闭环的安全运营管理等安全能力，构建安全运营标准化操作流程与体系。

• 智能安全分析

通过数据湖海量存储分析、UEBA、AI 等智能分析技术，精准定位已知威胁、深度检测未知威胁，实现辅助安全运营决策。

• 企业级安全合规管理

提供产品级别安全合规监控与报告能力，帮助您更快速、高效和持续地落实网络安全等级保护制度，提升企业客户业务系统的安全防范能力。

• 云原生主动防御系统

借助内生安全组件云防火墙实现分区隔离，可信计算实现主动免疫，NDR、SOAR 实现自愈纵深防御体系，提升企业客户主动发现安全隐患，及时阻断隔离安全攻击的效果。

1.2 主要功能

1. 安全可视

安全大屏将安全攻防数据转化并呈现到安全大屏上，可实时展现攻击告警、漏洞、基线情况，帮助用户一眼看清资产当前的安全状态；实时展现攻击来源、攻击分布、明确攻击者来源及攻击情况，帮助您建立安全防线，构建实时威胁感知能力，将入侵损失降低到最小，提升资产的整体防御能力。

• 全局安全态势总览：支持安全评分、3D 攻击态势图、Top5 被攻击资产、Top5 攻击类型、Top5攻击地域，安全事件发展趋势，高危安全事件实时入侵监控。

• 自定义大屏 logo：支持用户自定义上传本公司 logo，提升宣传效果。

2. 资产管理

本版本主要针对云服务器的资产信息同步，可为用户提供资产名称、资产 ID、资产保护状态、资产IP 地址、操作系统、保护状态、风险状态、可信启动信息的统一展示和管理。

可信启动信息：资产组件可信状态，包括启动阶段，实际测量值、标准测量值展示，方便用户发现硬件启动阶段的安全风险。

3. 可信应用白名单

云安全中心支持可信应用白名单的功能，可防止您服务器上有未经过认证或授权的程序运行，为您提供可信的资产运行环境。

云安全中心可信应用白名单功能支持将需要重点防御的服务器加入到白名单中，通过检测白名单中指定的应用程序来区分可信、可疑程序，防止未经白名单授权的程序运行。可避免您的主机受到不可信或恶意程序的侵害，在创建白名单策略之后，您可以通过在需要重点防御的服务器中应用该白名单策略，云安全中心将检测服务器中是否存在可疑或恶意进程，并对不在白名单中的进程进行告警提示。

4. 多源日志接入

多源日志接入模块针对专有云/公有云部署环境，可收集、解析、转发多种安全设备日志，满足等保三级要求。

• 安全设备管理：可管理不同品牌的不同型号的安全设备，并且支持在线状态检测。

• 安全设备采集自定义模板：通用数据实时采集引擎支持多种数据源的接入，包括 syslog、Kafka等模式接入；通用数据解析引擎，可对接入数据做 gork、json 等归一化处理，并支持数据派生和增强；通用转发引擎，默认支持写入 clickhouse，同时支持 Kafka 转发。

5. 全量日志分析

围绕企业用户日志集中管理和搜索分析核心需求，中国电子云云安全中心推出了全量日志分析功能，对通过多源日志接入的第三方日志做统一日志管理。同时支持日志导出，报表分析等功能要求。

• 全量日志统一管理：采用大数据日志存储引擎，快速检索查询，聚合报表分析。

6. 统一告警处置与响应

为解决告警事件数量庞大、分析和处置方法复杂、告警事件无法统一管理等问题，中国电子云云安全中心的威胁检测模块提供了安全告警事件统一处置与响应功能，帮助用户集中处理全网安全事件，提升安全运营效率。

• 精准安全告警识别：通过集成商业威胁情报能力对原始告警二次分析，富化关键信息，实现告警动态定级，降低信息过载。

• 一站式告警处置：客户可通过云安全中心，针对各类告警执行不同处置方案，包括忽略、误报、加白、转工单、线下处理操作等，后续会联动 XDR 设备实现一键封禁功能，针对无法快速处置告警，可参考处置建议，灵活应变。

7. 封禁处置

在日常运维、重大活动保障和攻防演练等场景中，企业要能快速“发现、研判、处置”风险，平台支持自动化拦截攻击者 IP，并截断攻击过程，节约人工处置成本，同时更高效应对攻击。平台在各个边界入口建立封禁点，快速发现风险 IP，针对攻击源 IP 实时联动封禁，为后续精准溯源反制提供更多时间。

8. 漏洞扫描

漏洞扫描模块集 Web 漏洞扫描、端口漏洞扫描、弱密码漏洞扫描三大核心功能于一身，覆盖 VPC内网资产业务场景，为用户提供租户侧扫描探针管理、扫描任务管理、安全报告导出等能力。

1.3 基本概念

云安全中心（Cloud Security Operation Center，CSOC）是云原生的统一安全运营与管理平台，通过安全可视、安全预防、威胁检测、调查响应等安全能力，帮助用户实现安全运营闭环，为客户提供专有云/公有云的基本安全保障。

1.4 产品优势

1. 卓越的安全威胁洞察力

• PB 级高质量数据采集、存储、持续分析

根据国内外 SIEM、SOC 竞品分析，云安全中心需要配置一套强大的数据仓库以满足网络安全法对日志审计存储 6 个月的需求，同时需要在用户需要离线调查的时候，支持快速搜索海量数据；其次，接入安全数据的质量，也直接影响着后续安全分析的准确性，所以需要一套灵活的可傻瓜式配置的解析引擎；再次，需要拥有一套基于大数据、机器学习、深度学习的智能分析架构，能提升调查分析的质量。

• 无与伦比的威胁情报聚合分析

威胁情报安全分析是安全运营工作中的重要组成部分，通过威胁情报可快速研判攻击 IP 的历史攻击情况，是否被攻陷，是否有对外散播恶意程序的可能性，然后判断内部运营资产是否存在安全威胁，以及威胁程度，因此拥有一套自研的威胁情报系统，是体现核心竞争力的体现，同时，中国电子云汇聚国内外威胁情报 Top 厂商（virustotal、微步、奇安信）综合判断情报的准确性。

• 全面的安全威胁分析手段

即实时离线关联分析、图威胁分析、ML/AI 安全算法分析。

通过内置专家团队多年的安全运营规则，依托 CCOS 云平台提供的大数据和机器学习、深度学习的智能分析架构，发现已知和未知安全风险。通过图分析的社区发现算法应用到自动化攻击溯源。提供威胁发现新手段。也可以通过机器学习能力来总结周期性规律，帮助安全规则更好的判断威胁。

2. 高效的安全运营统一工作台

• 通过全局精准的告警、基线及漏洞检测能力，为一线安全运营中心分析师提供端到端解决方案，使安全团队能够更好地管理风险并降低应对威胁的成本。

• 通过提供安全编排、自动化和响应 (SOAR) 、扩展检测和响应 (XDR) 工具，提高分析人员的工作效率和创建更好的工作流程可见性。

3. 人机共智型安全大脑

• 安全运营能力覆盖公有云、专有云、边缘云、传统 IDC、物联网。

• 构建覆盖“省、市、县”三级具备安全协调能力的云安全运营中心，为政企用户提供安全托管服务，解决安全人才短缺。

• 构建政府、行业监管型态势感知系统，对政府或者行业下属机构的安全工作进行通报、指导与协调。

1.5 实现原理

1.5.1 产品架构

云安全中心产品架构图如下所示：

云安全中心支持对基础日志、弱点日志、告警日志、第三方日志做全面的采集，并通过日志服务的通用数据采集引擎、通用数据解析引擎、通用数据转发引擎，对日志进行范式化预处理，以进一步对日志数据流进行实时关联分析和离线分析。

• 全面采集能力

可以采集云资产的脆弱性信息、网络流量日志、各种安全设备日志。采集到的日志进行标准化转换和富化之后，存入到云安全中心的大数据平台中。

• 海量日志检索

云租户和系统管理员可以对云安全中心采集的所有日志进行检索。支持交互式选择需要查询的字段并提供智能联想降低使用的门槛，同时支持面向专业人员的高级 SQL 搜索语句。

• 数据自动分层

系统会将采集超过 7 天的数据默认存入冷数据库中，冷数据库无法实时快速返回数据检索结果，此时如果用户对超过 7 天的数据进行检索，系统将自动切换至任务化搜索模式，将搜索内容按照后台任务执行，并且提供多任务并行处理能力，避免用户的长时间等待。

• 海量数据处理能力

系统具有分布式搜索引擎，能够实现按需扩展，系统支持跨服务器、跨数据源、分布式的信息索引技术，能够处理 PB 级别以上的结构化或非结构化数据，达到百亿条数据秒级检索。

1.5.2 逻辑架构

• 日志采集系统收集租户侧和平台侧所有安全设备日志

租户侧的安全服务包含：云工作负载（CWP）、云主机安全（CHS）、漏洞扫描（VSS）、云防火墙（CFW）、云堡垒机（CBH）、Web 应用防火墙（WAF）、数据库审计（DAS）。

平台侧的安全设备至少包含：下一代防火墙（NGFW）、Anti-DDoS、NTA、Web 应用防火墙（WAF）、漏洞扫描（VSS）、堡垒机（CBH）等设备。

平台云安全中心（SOC）需要接收以上第三方安全产品日志，做集中统一事件管理与处置。通过云平台自带的日志服务，与云安全中心多源日志接入模块对接，完成采集、解析、字段转换、转发等流程。

• 资产管理模块同步所有租户侧、平台侧资产

通过 OpenAPI 方式同步租户侧 ECS 资产和 CKS 资产、云平台底座的 K8s 和 Docker 资产、网站 DNS 资产、云平台产品资产（包括 RDS、SLB、OSS）等。

• 日志分析模块实现实时、离线分析

借助sysclickhouse自带的强大的离线日志分析能力，可帮助用户做时序分析、多表关联分析；借助 sysFlink 自带流处理能力，可帮助用户完成实时分析，快速发现未知的安全威胁。

• 智能安全编排模块（SOAR）综合编排处置告警事件联动

通过 SOAR 模块调用第三方产品 API，调用安全产品阻断威胁；也可以通过 SOAR 模块调用安全工单系统，对需要跨部门协作处理的安全事件进行跟踪。

• 安全大屏模块

通过大屏基础设施，满足用户自定义安全大屏业务需求，同时支持内置安全态势总览大屏、主机安全态势、网络安全态势大屏、安全运营态势大屏。

1.6 业务流

1. 日志接入流程

(1) 在安全设备上第三方日志服务设置，开通 syslog 外发设置，或者配置 Kafka 发送地址。

(2) 进入“系统设置 > 多源日志接入 > 接入设备”，添加需要接入的设备类型、厂商、设备型号、接入采集方式。

(3) 进入“系统设置 > 多源日志接入> 接入模板”，在日志模板中设置解析、转换规则，并在转发配置中设置 sysES 库、同时转发给 syscls（clickhouse）库。

(4) 在“威胁检测 > 告警详情”中，查看接入的第三方告警事件，可查看告警详情。

(5) 在“威胁检测 > 告警详情”中，单击“告警处置”，可执行加白或阻断。

1.7 关键指标

资产信息全量同步频率为 2 小时/次。

1.8 关联服务

实时分析服务、离线分析服务关联系统日志服务，离线存储依赖对象存储服务，攻击溯源依赖知识图谱服务，资产同步依赖云服务器产品。

1.9 应用场景

1. 安全合规驱动

对于等保 2.0 二级和三级中针对服务器主机安全的入侵防范、身份鉴别、安全审计等要求，云安全中心可应答其中 15+等保标准的要求项。

2. 入侵防范

云安全中心（态势感知）的漏洞扫描功能支持对系统漏洞、应用漏洞扫描及一键修复；支持对主机入侵行为和文件样本进行实时检测和防御；支持对主动外联和恶意攻击服务器主机的行为告警；支持对恶意代码、防范-挖矿、勒索、蠕虫、DDoS 木马等的检测。

3. 身份鉴别

对登录服务器主机、应用系统的密码复杂度进行安全配置检查，支持防暴力破解；支持对用户使用的云产品的配置进行安全检查。

4. 安全审计

支持记录 3 类 14 种服务器主机日志记录，通过日志进行审计；日志支持保存 6 个月。

1.10 使用限制

手动同步资产时请间隔 5min。

意见反馈

文档内容是否对您有帮助？

如您有其他疑问，您也可以通过在线客服来与我们联系探讨在线客服