思科域名的分类
域名的分类 时间:2021-01-18 阅读:()
DavidLi李勇卫思科资深安全架构师Date201903思科助力企业安全可视化建设信息可视化监控检测分析定位网络主体用户终端系统服务行为软件网址应用文件流量位置时间哪年哪月几点几分哪个交换机哪个端口哪个楼层哪个座位社交媒体购物网站微博微信病毒广播风暴泛洪哪个部门的哪个人PCWindows7LinuxFTPDHCPJavaIE漏洞属性BashHeartbeat网络可视化的作用网络安全及稳定性问题通常来自于网络接入的主体为什么要网络安全可视化-工欲善其事,必先利其器层次覆盖协作开放呈现自动可视分析能力应用能力安全可视化建设六大要素不同产品配合、分享、决策执行获得更广的视角覆盖网内每个用户、每个端口、每次访问主机内每一个进程的每次操作解决方案跨越主机、接入、通讯、边界各个层次对外更多分享数据、更多的分享接口与应用系统的信息整合全面的、可分析、可衡量的态势呈现层次化、分级别的表现方式策略编排、处置自动、分析智能第一阶段第二阶段主机层面接入层面传输层面网络边界广深内外应用URL信誉分类黑名单邮件文件DNS监视到每一个端口每一个主机监视到每一此访问每一个数据包情景感知异常流量分析StealthWatch网络准入ISE邮件安全网关下一代防火墙Anyconnect信息采集AMP恶意软件检测安全能力内网安全可视化建设互联网威胁情报建设了解主机所有的属性信息可视化建设第一阶段-思科如何帮助客户实现安全可视化能力-层级分析、重点研究2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidentialCiscoAnyConnect思科安全能力之终端合规、进程流量可视化、客户端信息收集-Anyconnect统一终端软件终端合规与思科其他解决方案集成IdentityServicesEngine(ISE)ASR/CSRSwitchesandWirelessControllersCloudWebSecurityServices(CWS+WSA)ISRAdaptiveSecurityAppliance(ASA)VPNNetFlowCollectorsAdvancedMalwareProtectionUmbrellaServices网络可视化恶意软件检测云Web过滤网络接入准入云DNS保护客户端信息采集2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之EDR-AMP高级恶意软件防御-未知及已知病毒捕捉,零天病毒检测利器,勒索病毒防御Talos威胁情报45%的检测在我们检测到时,Virustotal还有没检测到进程行为分析及异常行为IOC集成沙箱功能–AMPThreatGrid19%的TG检测在我们检测到时,Virustotal还有没检测到低流行率可执行文件的自动分析10%转化为恶意软件漏洞软件分析检测技术与AV引擎结合下一代防病毒技术2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之IAM/NAC-网络接入情景感知可视及控制ISE策略平台ISE策略平台PLCADSAP你想要访问的资源TabletLaptopHMI你是个什么设备Mitsue(sales)Shree(IT)Santoso(Operator)你的身份JapanIndiaBuildingA从哪里接入19:3016:0016:00什么时间接入VPNWiFiWired连接网络的方式互联网881518815188151网络设备策略执行身份位置时间接入方式终端类型是否感染是否合规188152017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之NTA-Stealthwatch利用网络的力量达到最大安全覆盖-流量分析技术发现网内未知隐患内部威胁缺乏发现取证手段未知威胁行为IOC突破特征技术限制异常活动机器学习自动发现隐患黑盒子网络掌握每一次网络访问收集流量自动学习流量匹配异常行为IOC捕捉内部威胁交换机与路由器、防火墙:产生Netflow、sFlow、Netstream、IPFix等网络安全网络安全合规、安全审计、异常主机发现、数据窃取发现、蠕虫传播NaaSStealthwatch异常流量分析系统:收集Flow,分析流量2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之DPI-Firepower下一代防火墙/下一代入侵检测入侵文件网址应用IP源/目的IP源/目的端口协议安全域身份设备信息用户信息操作系统网内位置国家区域域名域名分类域名域名信誉DNS威胁情报网址分类网址信誉网址威胁情报应用分类应用信誉业务相关性SHA文件尺寸文件样本网址应用文件是否染毒文件轨迹客户端应用危险级别微软漏洞文件属性Snort规则平台相关分类入侵方式分类>35K规则Firepower漏洞列表定制规则IP威胁情报拦截警告日志加速允许限速属性2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential250+全职威胁情报研究员百万级遥感终端4全球数据中心1100威胁陷阱100+威胁情报合作伙伴思科威胁情报150万每天恶意软件样本6000亿每天电子邮件消息160亿次每天Web请求全球蜜罐网网络开源社区SpamcopOpenDNSSenderbase漏洞挖掘(内部)34亿恶意软件遥感数据ThreatGrid沙箱社区情报共享AspisCreteAEGIS第三方共享(MAPP)ISACs思科安全能力之威胁情报-Talos威胁情报互联网的可视化2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential如何获得思科威胁情报安全能力Talos为所有的Cisco安全产品提供智能情报,为用户提供自动的防护NetworkEndpointCloudFirePower/ASASnortsubscriptionrulesetNGFWNGIPSMerakiAMPforNetworksAMPforEndpointsAMPforGatewaysCloudEmailSecurityCloudWebSecurityWebSecurityApplianceEmailSecurityApplianceCiscoUmbrella2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力通过产品协作提供丰富数据及检测分析一支训练有素的顶级球队Firepower下一代防火墙ThreatGrid沙盒文件分析系统AMP高级恶意软件防御Stealthwatch异常流量分析系统未知威胁防御ESA邮件安全网关ISE网络准入解决方案终端信息采集终端合规信息Anyconnect统一客户端2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential可视化建设第二阶段-当我们拥有了安全数据,我们如何使用他们-借助思科解决方案实现态势感知建设FWIPSNTADPIEDRVulnerabilityContextDataPostureDataStoreDataSourceAPIeStreamerSyslogODBCEventCollectionTechnologyThreatIntelLogDataAnalysisDataCollectionDataAnalysisIAMVPNNACMalwareFileAPPOSServiceIP-TupleUserDomainNameURLIntrusionTopLevelAnalysisUseCaseCategoryPriorityCorrelationMeasureDataExpressionDashboardReportThreatResearcherSOCAnalystThreatHunterAlertSearchCasePanelDataPortalIncidentResponseSecuritySituationAwarenessDataOperationForensicsAnalysisSecurityAuditConsumerEmailSPAM安全运营与分析平台架构SandboxShortterm-datalakeLongterm-datalake展现安全态势快速响应及处置解析安全事件数据解析监听裸数据萃取元数据收取分析日志自动化事件梳理2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全可视化态势展现安全分析员–针对事件标识和响应的调查窗口技术经理–重点突出风险和事件状态的运营仪表盘安全运营官–基于合规的报告CIO–风险状态和安全趋势的概况安全审计–审计需要的安全指标建设安全态势感知常见痛点-缺乏优先级"告警疲劳什么是告警疲劳"缺乏需要的数据源"对不起,我们没有能力检测到这种信息.
.
.
"缺乏数据的理解"这个数据到底表示什么含义"缺乏检测和响应的关联"我们发现它们了,下面呢"2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential事件那么多,请告诉我们哪些需要处理-安全事件优先级评定单一事件SLE评分系统风险值=R(A,T,V)脆弱性资产威胁处置SLERO定量+定性综合评定是不是这些事件我们都需要处理我需要告诉你我们没有那么安全技术人员请不要告诉我,让我来说我们需要看哪些事件如何评价我们现在的安全状态2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential事件降噪举例-思科Firepower入侵事件降噪及安全风险度量脆弱性威胁Priority高中低HostProfileImpactLevel01234ServiceOSVulnerabilityMatchSignature资产ValueRanking10203040Reference2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential通过持续的安全事件建设完成态势感知系统的进化ObjectiveThreatStakeholdersDataReqs.
LogicTestingPriorityOutput"Failuretoprepareispreparingtofail"BenjaminFranklin处置流程的目的和目标需要标识的威胁与处置流程相关责任人检测信息源.
日志、数据包、主机配置等.
处理数据和标识威胁所需要规则及条件确认风险的校验方法逻辑基于影响和紧急状况来分类和归类不同级别的威胁响应威胁的工作流及报表、仪表盘Source:SANS-用来标识出组织和技术的要求,针对特定威胁如何进行检测和响应-安全态势感知针对特定条件标识出的安全事件安全事例框架2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全事例Use-Case设计模板UseCaseIDThreat-001Objective保护服务器免受外来侵入Threat检测到针对服务器的暴力破解行为ThreatCategory异常访问/账号安全/RECONStakholdersSec管理部门,Server管理部门,APP业务部门DataReqs.
Firepower-EstreamerDataLogics在Firepower开启针对SSH/FTP/HTTPBruteForce特征规则PriorityMiddleOutput服务器安全告警、事件调查仪表盘Response设定阈值自动拦截,报知业务部门提醒业务部门,重新审视业务需求,关闭不必要的管理端口,必要时将攻击源加入黑名单.
2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential标识安全事例Use-Case备选项ThreatOrientedControlOrientedUseriskandthreatassessmentresultsIndustryReportsStrategicthreatintelligenceresourcesRedteamexercisesCorporatePoliciesRegulatory&ComplianceAttackChainModelmaptocapabilitiesCandidateVector2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidentialTARGETBREACHCOMPROMISEDNSDNS-LayerSecurityWebSecurityEmailSecurityIPSDeliverHostAnti-MalwareINSTALLIPSFWNetworkAnti-MalwareEXPLOITDNSDNS-LayerSecurityWebSecurityIPSCommandIPSFWRECONFlowAnalyticsActThreatIntelligenceWeaptonize针对CyberKillChain建设安全能力FileTrajectoryATTACKERINFRASTRUCTUREUSEDBYATTACKERFILES/PAYLOADSUSEDBYATTACKERSource:Gartner(2016)45586UseCaseCapability2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential事件调查及关联分析数据展示DeliverINSTALLEXPLOITCommandRECONActWeaptonize位置身份安全态势分析行为态势分析行为审计日志安全事件情景信息资产属性身份关联攻击链映射事件出发情景信息展现2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全事例管理框架按照需求方要求收集需求填写Use-Case模板标识可用的及可实现的内容标识备选UseCase实现后重新审视环境变化后重新审视UseCases命中后定期重审定期刷新情景数据重审UseCase按照重要性按照可行性建立UseCases优先级列表备案不可实现的UseCasesUseCase优先级评定复查和优化描述与需求确认实现需求的安全能力决定需求的数据源决定满足需求的情景数据标识新的或者被影响的流程以及运营方案开发、测试和提交内容至产品UseCase实现方针修改内容修改事件修改记录添加或修改情景数据修改输出内容(Output)修改运营流程优化UseCase与Owner或者提交需求方确认更新文档通知相关责任人删除内容更新废除UseCases列表废除UseCase收集独立UseCase指标收集UseCase管理指标提供反馈给战略与计划开发衡量流程性能Source:Gartner(2018)开始2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全事例UseCase分类汇总ThreatKillChain威胁类型场景分类RECONWeaptonizeDeliverExploitInstallCommandActOther异常访问账号安全1高危访问4安全合规2入侵事件高频事件5新发事件1网络流量资源滥用1异常流量112蠕虫传播1恶意软件异常行为21高危感染2病毒爆发1威胁情报恶意攻击1远程控制3恶意软件分发22017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential1小时内100次重复单一事件攻击-Firepower单一源IP持续入侵攻击行为-Firepower某服务器被持续攻击-Firepower高风险值的攻击行为-Firepower未被阻止的高风险入侵事件-Firepower30天内出现的新型入侵事件-Firepower举例-风险分类:入侵事件实现内容:接收来自Firepower入侵检测/入侵防御系统产生的日志.
规格化所有来自这些设备的日志.
关联分析所有防火墙和入侵检测/入侵防御系统的事件,产生调查分析报表和告警UseCase事例2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential高带宽占用客户端-Stealthwatch单一主机外发大量邮件-Stealthwatch源主机发送大量异常流量(Scan/Flood)-Stealthwatch源主机通过SMB访问互联网行为-Stealthwatch服务器受到DDOS攻击-Stealthwatch主机发生蠕虫传播行为-Stealthwatch实现内容:通过Netflow和端口镜像,收集网络所有的流量数据.
自动学习流量,分析报警异常流量UseCase示例:举例-风险分类:网络流量2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科提供更加开放的接口帮助客户实现定制化需求Firepower下一代防火墙ThreatGrid沙盒文件分析系统AMP高级恶意软件防御Stealthwatch异常流量分析系统ESA邮件安全网关ISE网络准入解决方案Anyconnect统一客户端ODBCRestfulAPIHostInputAPIEstreamerAPISouthboundAPIRestfulAPISDKERSAPIPxGridPassive-IDRestfulAPIRestfulAPIRestfulAPI2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科态势感知平台技术实现方式异常流量分析系统网络准入系统下一代防火墙文件沙箱系统恶意软件防御安全能力层数据采集处理安全运营分析安全事件响应威胁情报监控网络安全分析日志关联分析安全态势感知事件监控中心SOAPA安全报告安全知识培训用户行为审计威胁情报监控-威胁研究和建模-恶意软件分析-沟通和协调-报告和简报安全事件响应-网络安全监控-网络安全调查和升级报告-网络威胁搜索-网络安全事故补救-事后分析网络安全分析-安全数据管理-安全分析-事件分类-事件定级2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidentialThreatswillincrease.
Volumeandsophistication.
威胁与日俱增更多种类更加复杂欢迎选择思科帮你完成可视化建设希望有机会分享我们的经验
Allrightsreserved.
CiscoConfidentialCiscoAnyConnect思科安全能力之终端合规、进程流量可视化、客户端信息收集-Anyconnect统一终端软件终端合规与思科其他解决方案集成IdentityServicesEngine(ISE)ASR/CSRSwitchesandWirelessControllersCloudWebSecurityServices(CWS+WSA)ISRAdaptiveSecurityAppliance(ASA)VPNNetFlowCollectorsAdvancedMalwareProtectionUmbrellaServices网络可视化恶意软件检测云Web过滤网络接入准入云DNS保护客户端信息采集2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之EDR-AMP高级恶意软件防御-未知及已知病毒捕捉,零天病毒检测利器,勒索病毒防御Talos威胁情报45%的检测在我们检测到时,Virustotal还有没检测到进程行为分析及异常行为IOC集成沙箱功能–AMPThreatGrid19%的TG检测在我们检测到时,Virustotal还有没检测到低流行率可执行文件的自动分析10%转化为恶意软件漏洞软件分析检测技术与AV引擎结合下一代防病毒技术2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之IAM/NAC-网络接入情景感知可视及控制ISE策略平台ISE策略平台PLCADSAP你想要访问的资源TabletLaptopHMI你是个什么设备Mitsue(sales)Shree(IT)Santoso(Operator)你的身份JapanIndiaBuildingA从哪里接入19:3016:0016:00什么时间接入VPNWiFiWired连接网络的方式互联网881518815188151网络设备策略执行身份位置时间接入方式终端类型是否感染是否合规188152017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之NTA-Stealthwatch利用网络的力量达到最大安全覆盖-流量分析技术发现网内未知隐患内部威胁缺乏发现取证手段未知威胁行为IOC突破特征技术限制异常活动机器学习自动发现隐患黑盒子网络掌握每一次网络访问收集流量自动学习流量匹配异常行为IOC捕捉内部威胁交换机与路由器、防火墙:产生Netflow、sFlow、Netstream、IPFix等网络安全网络安全合规、安全审计、异常主机发现、数据窃取发现、蠕虫传播NaaSStealthwatch异常流量分析系统:收集Flow,分析流量2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之DPI-Firepower下一代防火墙/下一代入侵检测入侵文件网址应用IP源/目的IP源/目的端口协议安全域身份设备信息用户信息操作系统网内位置国家区域域名域名分类域名域名信誉DNS威胁情报网址分类网址信誉网址威胁情报应用分类应用信誉业务相关性SHA文件尺寸文件样本网址应用文件是否染毒文件轨迹客户端应用危险级别微软漏洞文件属性Snort规则平台相关分类入侵方式分类>35K规则Firepower漏洞列表定制规则IP威胁情报拦截警告日志加速允许限速属性2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential250+全职威胁情报研究员百万级遥感终端4全球数据中心1100威胁陷阱100+威胁情报合作伙伴思科威胁情报150万每天恶意软件样本6000亿每天电子邮件消息160亿次每天Web请求全球蜜罐网网络开源社区SpamcopOpenDNSSenderbase漏洞挖掘(内部)34亿恶意软件遥感数据ThreatGrid沙箱社区情报共享AspisCreteAEGIS第三方共享(MAPP)ISACs思科安全能力之威胁情报-Talos威胁情报互联网的可视化2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential如何获得思科威胁情报安全能力Talos为所有的Cisco安全产品提供智能情报,为用户提供自动的防护NetworkEndpointCloudFirePower/ASASnortsubscriptionrulesetNGFWNGIPSMerakiAMPforNetworksAMPforEndpointsAMPforGatewaysCloudEmailSecurityCloudWebSecurityWebSecurityApplianceEmailSecurityApplianceCiscoUmbrella2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力通过产品协作提供丰富数据及检测分析一支训练有素的顶级球队Firepower下一代防火墙ThreatGrid沙盒文件分析系统AMP高级恶意软件防御Stealthwatch异常流量分析系统未知威胁防御ESA邮件安全网关ISE网络准入解决方案终端信息采集终端合规信息Anyconnect统一客户端2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential可视化建设第二阶段-当我们拥有了安全数据,我们如何使用他们-借助思科解决方案实现态势感知建设FWIPSNTADPIEDRVulnerabilityContextDataPostureDataStoreDataSourceAPIeStreamerSyslogODBCEventCollectionTechnologyThreatIntelLogDataAnalysisDataCollectionDataAnalysisIAMVPNNACMalwareFileAPPOSServiceIP-TupleUserDomainNameURLIntrusionTopLevelAnalysisUseCaseCategoryPriorityCorrelationMeasureDataExpressionDashboardReportThreatResearcherSOCAnalystThreatHunterAlertSearchCasePanelDataPortalIncidentResponseSecuritySituationAwarenessDataOperationForensicsAnalysisSecurityAuditConsumerEmailSPAM安全运营与分析平台架构SandboxShortterm-datalakeLongterm-datalake展现安全态势快速响应及处置解析安全事件数据解析监听裸数据萃取元数据收取分析日志自动化事件梳理2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全可视化态势展现安全分析员–针对事件标识和响应的调查窗口技术经理–重点突出风险和事件状态的运营仪表盘安全运营官–基于合规的报告CIO–风险状态和安全趋势的概况安全审计–审计需要的安全指标建设安全态势感知常见痛点-缺乏优先级"告警疲劳什么是告警疲劳"缺乏需要的数据源"对不起,我们没有能力检测到这种信息.
.
.
"缺乏数据的理解"这个数据到底表示什么含义"缺乏检测和响应的关联"我们发现它们了,下面呢"2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential事件那么多,请告诉我们哪些需要处理-安全事件优先级评定单一事件SLE评分系统风险值=R(A,T,V)脆弱性资产威胁处置SLERO定量+定性综合评定是不是这些事件我们都需要处理我需要告诉你我们没有那么安全技术人员请不要告诉我,让我来说我们需要看哪些事件如何评价我们现在的安全状态2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential事件降噪举例-思科Firepower入侵事件降噪及安全风险度量脆弱性威胁Priority高中低HostProfileImpactLevel01234ServiceOSVulnerabilityMatchSignature资产ValueRanking10203040Reference2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential通过持续的安全事件建设完成态势感知系统的进化ObjectiveThreatStakeholdersDataReqs.
LogicTestingPriorityOutput"Failuretoprepareispreparingtofail"BenjaminFranklin处置流程的目的和目标需要标识的威胁与处置流程相关责任人检测信息源.
日志、数据包、主机配置等.
处理数据和标识威胁所需要规则及条件确认风险的校验方法逻辑基于影响和紧急状况来分类和归类不同级别的威胁响应威胁的工作流及报表、仪表盘Source:SANS-用来标识出组织和技术的要求,针对特定威胁如何进行检测和响应-安全态势感知针对特定条件标识出的安全事件安全事例框架2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全事例Use-Case设计模板UseCaseIDThreat-001Objective保护服务器免受外来侵入Threat检测到针对服务器的暴力破解行为ThreatCategory异常访问/账号安全/RECONStakholdersSec管理部门,Server管理部门,APP业务部门DataReqs.
Firepower-EstreamerDataLogics在Firepower开启针对SSH/FTP/HTTPBruteForce特征规则PriorityMiddleOutput服务器安全告警、事件调查仪表盘Response设定阈值自动拦截,报知业务部门提醒业务部门,重新审视业务需求,关闭不必要的管理端口,必要时将攻击源加入黑名单.
2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential标识安全事例Use-Case备选项ThreatOrientedControlOrientedUseriskandthreatassessmentresultsIndustryReportsStrategicthreatintelligenceresourcesRedteamexercisesCorporatePoliciesRegulatory&ComplianceAttackChainModelmaptocapabilitiesCandidateVector2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidentialTARGETBREACHCOMPROMISEDNSDNS-LayerSecurityWebSecurityEmailSecurityIPSDeliverHostAnti-MalwareINSTALLIPSFWNetworkAnti-MalwareEXPLOITDNSDNS-LayerSecurityWebSecurityIPSCommandIPSFWRECONFlowAnalyticsActThreatIntelligenceWeaptonize针对CyberKillChain建设安全能力FileTrajectoryATTACKERINFRASTRUCTUREUSEDBYATTACKERFILES/PAYLOADSUSEDBYATTACKERSource:Gartner(2016)45586UseCaseCapability2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential事件调查及关联分析数据展示DeliverINSTALLEXPLOITCommandRECONActWeaptonize位置身份安全态势分析行为态势分析行为审计日志安全事件情景信息资产属性身份关联攻击链映射事件出发情景信息展现2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全事例管理框架按照需求方要求收集需求填写Use-Case模板标识可用的及可实现的内容标识备选UseCase实现后重新审视环境变化后重新审视UseCases命中后定期重审定期刷新情景数据重审UseCase按照重要性按照可行性建立UseCases优先级列表备案不可实现的UseCasesUseCase优先级评定复查和优化描述与需求确认实现需求的安全能力决定需求的数据源决定满足需求的情景数据标识新的或者被影响的流程以及运营方案开发、测试和提交内容至产品UseCase实现方针修改内容修改事件修改记录添加或修改情景数据修改输出内容(Output)修改运营流程优化UseCase与Owner或者提交需求方确认更新文档通知相关责任人删除内容更新废除UseCases列表废除UseCase收集独立UseCase指标收集UseCase管理指标提供反馈给战略与计划开发衡量流程性能Source:Gartner(2018)开始2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全事例UseCase分类汇总ThreatKillChain威胁类型场景分类RECONWeaptonizeDeliverExploitInstallCommandActOther异常访问账号安全1高危访问4安全合规2入侵事件高频事件5新发事件1网络流量资源滥用1异常流量112蠕虫传播1恶意软件异常行为21高危感染2病毒爆发1威胁情报恶意攻击1远程控制3恶意软件分发22017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential1小时内100次重复单一事件攻击-Firepower单一源IP持续入侵攻击行为-Firepower某服务器被持续攻击-Firepower高风险值的攻击行为-Firepower未被阻止的高风险入侵事件-Firepower30天内出现的新型入侵事件-Firepower举例-风险分类:入侵事件实现内容:接收来自Firepower入侵检测/入侵防御系统产生的日志.
规格化所有来自这些设备的日志.
关联分析所有防火墙和入侵检测/入侵防御系统的事件,产生调查分析报表和告警UseCase事例2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential高带宽占用客户端-Stealthwatch单一主机外发大量邮件-Stealthwatch源主机发送大量异常流量(Scan/Flood)-Stealthwatch源主机通过SMB访问互联网行为-Stealthwatch服务器受到DDOS攻击-Stealthwatch主机发生蠕虫传播行为-Stealthwatch实现内容:通过Netflow和端口镜像,收集网络所有的流量数据.
自动学习流量,分析报警异常流量UseCase示例:举例-风险分类:网络流量2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科提供更加开放的接口帮助客户实现定制化需求Firepower下一代防火墙ThreatGrid沙盒文件分析系统AMP高级恶意软件防御Stealthwatch异常流量分析系统ESA邮件安全网关ISE网络准入解决方案Anyconnect统一客户端ODBCRestfulAPIHostInputAPIEstreamerAPISouthboundAPIRestfulAPISDKERSAPIPxGridPassive-IDRestfulAPIRestfulAPIRestfulAPI2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科态势感知平台技术实现方式异常流量分析系统网络准入系统下一代防火墙文件沙箱系统恶意软件防御安全能力层数据采集处理安全运营分析安全事件响应威胁情报监控网络安全分析日志关联分析安全态势感知事件监控中心SOAPA安全报告安全知识培训用户行为审计威胁情报监控-威胁研究和建模-恶意软件分析-沟通和协调-报告和简报安全事件响应-网络安全监控-网络安全调查和升级报告-网络威胁搜索-网络安全事故补救-事后分析网络安全分析-安全数据管理-安全分析-事件分类-事件定级2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidentialThreatswillincrease.
Volumeandsophistication.
威胁与日俱增更多种类更加复杂欢迎选择思科帮你完成可视化建设希望有机会分享我们的经验
华纳云新人下单立减40元/香港云服务器月付60元起,香港双向CN2(GIA)
华纳云(HNCloud Limited)是一家专业的全球数据中心基础服务提供商,总部在香港,隶属于香港联合通讯国际有限公司,拥有香港政府颁发的商业登记证明,保证用户的安全性和合规性。 华纳云是APNIC 和 ARIN 会员单位。主要提供数据中心基础服务、互联网业务解决方案, 以及香港服务器租用、香港服务器托管、香港云服务器、美国云服务器,云计算、云安全技术研发等产品和服务。其中云服务器基于成熟的 ...
RAKsmart便宜美国/日本/中国香港VPS主机 低至月$1.99 可安装Windows
RAKsmart 商家这几年还是在做事情的,虽然他们家顺带做的VPS主机并不是主营业务,毕竟当下的基础云服务器竞争过于激烈,他们家主营业务的独立服务器。包括在去年开始有新增多个数据中心独立服务器,包括有10G带宽的不限流量的独立服务器。当然,如果有需要便宜VPS主机的他们家也是有的,比如有最低月付1.99美元的美国VPS主机,而且可选安装Windows系统。这里商家有提供下面六款六月份的活动便宜V...
3C云1核1G 9.9元 4核4G 16元 美国Cera 2核4G 24元
3C云互联怎么样?3C云互联专注免备案香港美国日本韩国台湾云主机vps服务器,美国高防CN2GIA,香港CN2GIA,顶级线路优化,高端品质售后无忧!致力于对互联网云计算科技深入研发与运营的极客共同搭建而成,将云计算与网络核心技术转化为最稳定,安全,高速以及极具性价比的云服务器等产品提供给用户!专注为个人开发者用户,中小型,大型企业用户提供一站式核心网络云端服务部署,促使用户云端部署化简为零,轻松...
域名的分类为你推荐
-
主机租用电脑租赁多少钱一天呢?有人租过吗?linux虚拟主机如何安装LINUX虚拟机vps国内VPS哪个好域名备案域名需要备案吗?北京网站空间网站空间哪里的好,免备案虚拟主机哪家免备案虚拟主机好,而且便宜点的?虚拟主机管理系统如何用win虚拟主机管理系统搭建云南虚拟主机大家觉得云南天成科技服务器租用给力吗?虚拟主机试用30天需要一个免费的虚拟主机,稳定的广西虚拟主机南宁有实力的网络公司推荐下?