態勢感知平台分析流程

1.明確態勢感知平台需求背景：

1）安全防禦防外為主 --> 防內為主，安全審計需求增多；

2）安全審計需求增加

3）新型犯罪增多，需要新技術解決新問題

2.態勢感知大致分為感知、理解、**三個層次，伴隨網路興起公升級為「網路態勢感知」。詳細一點可以分為態勢察覺：主動探測+被動監聽採集實現多維度多層次資料來源收集

​ 態勢理解和評估：對資料來源進行預處理、資料融合，並進行多層次多維度態勢評估

​ 態勢**：運用資料分析模型實現態勢**，並通過視覺化技術集中呈現，提供決策資料，知指導進行安全防禦體系的敏捷調整和持續運營

​ 安全決策：高層領導、部門領導、安全經理和運維人員在內，四層網路安全態勢管理模式

3.態勢感知的能力：

​ 1）網路空間安全持續監控能力，及時發現各種攻擊威脅與異常

​ 2）威脅調查分析機視覺化能力，對威脅相關的影響範圍、攻擊路徑、目的、手段進行快速判斷，支撐有效的安全決策和響應

​ 3）建立安全預警機制，完善風險控制、應急響應和整體安全防護水平

4.應用方向：

​ 1）監管機構：國家或省市層面，關鍵資訊基礎設施安全態勢進行整體監控與關注

​ 2）大型行業：1.體系內部建立態勢感知，應用於內部安全運營，發現重要威脅，解決問題，讓安全能力落地 2.利用態勢感知對多分支或二級單位進行外部監管，提公升整體安全狀態掌握，同時與監控機構進行事件應急處置及威脅情報的合作

​ 3）大型機構或企業：從日常安全工作角度出發，對有價值核心資產、業務系統安全狀態進行感知，發現各類威脅與內部異常違規，保證業務系統能夠平穩、順暢執行，更偏內部安全運營能力落地

5.建設目的:

​ 監測：提供網路安全持續監控能力，及時發現攻擊威脅及異常，尤其是針對性攻擊

​ 分析、響應：建立威脅視覺化及分析能力，對威脅影響範圍、攻擊路徑、目的、手段進行快速判研，進行有效安全決策和響應

​ **、預防：建立風險通報和威脅預警機制，全面掌握攻擊者目的、技戰術、攻擊工具等資訊

6.應用價值：

​ 應對關鍵性威脅：快速發現實現主機；主機web安全保障

​ 提公升分析研判能力：1）分析研判保障事件正確響應處置、逐步完善防禦架構

​ 2）依賴外部威脅情報和本地流量日誌進行有效分析研判

​ 資訊與情報共享：1）實現本行業、本領域網路安全監控預警和資訊通報

​ 2）研判分析和情報共享是預警、**的基礎

​ 履行行業監管職能：邊界流量探針、雲監控和外部情報監測等優選監測手段，實現對行業監管

7.真正的態勢感知為了安全能力落地，及安全客觀、監測、預警機響應於一體

​ 使用者需要能夠實現全網安全可視、檢測、預警機響應安全平台，高效感知內部安全風險，提供最終響應處置；

​ 在外部，需要能夠收集大量外部威脅情報，輔助高階安全事件分析；

​ 在網路內部，各個子域關鍵節點上，通過探針湖泊安全裝置，精準採集有效檢測資訊；

​ 將外部威脅情報和內部真實資料彙總到一起，通過行為分析、機器學習等演算法對各類潛伏到網路內部高階威脅進行檢測、判斷、響應，並通過視覺化最終感知網路是否安全，如何處置；

​ 真正態勢感知應該基於環境、動態、整體洞悉安全風險的能力，安全大資料為基礎，全具視角提公升安全威脅發現識別、理解分析、響應處置能力的一種方式，實現安全能力落地。威脅發現**資料是基礎，基於流量檢測、人工智慧等技術進行檢測分析是核心，進行可視呈現是必要，兒最終響應處置落地能力是關鍵

8.第一步：幾個問題：

​ 提出背景是什麼？

​ 解決了使用者什麼問題，是不是使用者想要的？

​ 有什麼商業價值？

​ 背後的商業模式和運營模式是什麼？

需求管理-業務學習：要點–分析需求，明確要做什麼

​ 查詢資料–查詢態勢感知平台，考核管理系統等方面資料，熟悉知識體系

​ 競品分析–尋找類似產品，了解產品，能解決什麼問題

​ 人員溝通–與一線人員溝通需求，或與使用者聊聊需求

9.第二步：

​ 梳理流程：要點–了解業務，明白業務內容；梳理業務流程，明晰業務前後端或上下級資料互動情況；解構所有流程，梳理主業務與子業務關係

​ 主流程–核心業務：設定考核指標、統計方式

​ 子流程–支撐核心業務，考核演算法需要高度可拓展

10. 第三步：

框架設計：要點–構思框架，描述產品形態

怎麼「做」–功能導圖：立足需求，抽象立體功能。需求分類、功能結構重組，搭建產品資訊架構（ia)，引入專業人員提公升產品專業度及行業邊界

–產品原型：是它對已擁有明確思路和需求範圍的產品構思重現過程，需要快速重現和迭代

資訊加工：把複雜的產品需求精化為立體功能結構框架，更具可行性和落地性

方向–全方位資料分析：使用者最關心的指標、最反映管理現狀的指標、最能**未來趨勢指標、可獲得指標

11.第四步：迭代規劃

13.參考：「安全智慧型中的大資料分析」

14.非功能性需求：效能需求：響應時間、吞吐量、資源利用率

安全性：保密性、防洩漏、許可權控制、防攻擊

可維護性與可拓展性：模組性、可復用性、易分析性

可靠性：易恢復性、容錯性、成熟性

易用性：易學習性、易操作性、使用者錯誤防禦機制、使用者介面美觀等

cis 華為態勢感知 安全態勢感知

什麼是態勢感知 定義 ssa securitysituation awareness 即安全態勢感知，可以幫助使用者理解並分析其安全態勢，其通過使用者安全態勢 攻擊者態勢兩個維度，增強使用者從海量的資訊中發現有用資料的能力，幫助使用者準確理解過去一周發生的每一件安全事件，並為使用者進行安全態勢 提供...

安全態勢感知

態勢感知的基礎是對報警和元資料的收集，為達到 全方位全天候 的目標，需要在流量 內容 終端三個方面，利用實時資料和歷史資料進行檢測。但單純報警的視覺化展示並不是真正的 態 要呈現當前的 態 需要針對報警或者異常，進行誤報甄別 定性分析 識別定向型攻擊或是隨機性攻擊 了解攻擊的影響範圍和危害 確定緩解...

態勢感知安全產品誤報 漏報分析

1.分析思路 正向分析 根據已有的高危 嚴重 中危 低危規則分析目前的規則制定的資訊是否有效，本質上屬於功能測試 黑盒分析 從爆出的告警日誌分析，分析具體的攻擊行為，根據產品具體日誌資訊，檢視資料報內容，確定是誤報。正向分析出現的問題，已經做完功能測試，每條規則本身是生效的，那麼存在問題，應該歸為b...