MENU

安全运营中心业务梳理

2024 年 10 月 12 日 • 访问: 291 次 • 项目

安全运维业务有哪些?安全运维平台上如何呈现?

以图表大屏的形式,将各项总览数据与指标可视化

  • 安全风险/安全告警/安全事件
  • *安全评分(统计HIPS、高危端口、漏洞和基线)
  • *资产总览/风险总览/攻击总览/安全指标
  • *主机资产(云主机)
  • 应用资产(容器中扫出的三方件)
  • 域名资产
  • EIP资产
  • 风险工单(Risks)
  • 安全防护
  • 主机风险
  • 暴露面风险(高危端口)
  • *云服务风险
  • 安全漏洞
  • 安全告警

  • 安全攻击(通过华为云防护日志接口查询)

    • 主机攻击
    • Web攻击

  • 检测模型

    • 白名单管理
    • 告警管理
    • 规则管理
    • 任务管理
  • 安全事件

  • 快速处置

    • *IP封堵
  • *日志检索

  • 安全编排

    • 剧本管理
    • 任务管理
  • *情报管理/情报查询(通过微步接口查询IP/domain/file)
  • 漏洞查询

  • HIPS策略

    • Agent配置下发
    • 基线管理
    • HIPS策略管理

  • RASP策略

    • Agent配置下发
    • 策略组管理
    • 特性包管理(SQL注入、XML注入、WebShell插件、Http注入、FastJson漏洞、JDK风险检测)
    • 特性管理
  • 扫描器策略(风险EIP、端口扫描、漏洞扫描)
  • *租户管理(管理租户、托管租户、业务租户)
  • 对接管理
  • 日志采集管理
  • 工单配置

安全运维平台有哪些角色?职权是如何分配的?

  • 安全运营经理:安全运营中心的核心角色,负责安全运营工作的管理和执行,能够统筹执行安全运营的各项工作并有效实施相关措施,由安全运营经验丰富的安全专家担任。
  • 安全运营专员:安全运营的核心角色,主要负责安全运营工作的执行,能够有效实施相关措施完成安全运营工作,由安全运营专家担任。
  • 告警分析员:分析和处置安全威胁相关数据,利用分析工具和技术来判断、分析安全威胁,为安全运营团队提供威胁情报和建议。由经验丰富的安全分析师担任。
  • 风险分析员:分析、处置各类安全风险,能够有效推动各类安全风险修复并指定加固措施,并为安全运营团队提供资产安全防护建议。由经验丰富的安全人员担任。
  • 安全系统维护员:负责维护和管理安全设备和系统,能够有效实施相关配置和管理措施,并可持续键控和维护这些系统。同时能配合安全运营团队完成安全措施的执行。由经验丰富的运维人员担任。

安全护网是有哪些需要做的事情?

  • 监测资产是否都开启了保护,例行对资产进行扫描,识别风险项,对于告警需要进行处置
  • SRE每日例行在安全运维平台上监控资产,发邮件通告各部门进行安全整改
  • 最多使用到的功能就是WAF封堵,安全编排编排自动化处置策略,通过微步情报中心查询IP是否高风险IP,从而实现自动封堵
  • 白盒扫描与蓝军攻击队渗透测试,提安全问题单进行整改

云服务合规配置检查都有哪些检测逻辑呢?

涉及检测常见的云服务产品:IAM/OBS/WAF/CTS/LTS等,主要还是检测配置的合规性,以下举一些例子:

  • IAM

    • 检查用户是够开启了双因子认证
    • 用户密码强度检查,需要具有大小写、特殊字符和数组,且满足一定长度
    • 用户老化去激活策略:XX天未登陆的用户应该给予自动去激活
    • 登陆失败XXX次锁定XX分钟

  • OBS

    • OBS开放权限检查,检查公有桶策略,防止具有敏感信息的桶对象泄露在公网
    • 限制OBS桶只允许HTTPS访问,更加安全

  • WAF

    • 检查用户的域名资产是否都开启了WAF防护
    • WAF防护需要开启最基础的防护功能
    • WAF防护网站的对外协议应该设置为HTTPS

  • CTS

    • 云审计日志服务是否开启
    • 审计日志是否保留XXX天,至少保证日志能够存储一定周期
    • 审计日志是否开启消息通知

  • LTS

    • WAF日志是否大于XXX天会转储到OBS(做日志归档,便于离线分析)

HIPS(主机安全)有哪些检测策略?

查看https://support.huaweicloud.com/productdesc-hss2.0/hss_01_0136.html进行梳理总结

安全评分根据哪些东西来计算主机的安全评分值?

根据漏洞、安全基线,不同的级别扣分权重*数量,是否开启了主机防护,是否存在外边界暴露端口,按照百分制依进行扣分,最低分为零

WAF封堵

WAF白名单、精准防护策略(可指定时间、多个IP地址段)

SOAR是啥?如何对接的各种情报中心

SOAR是安全编排,通过托拉拽的方式,对安全事件进行自动化的处置。比如说一个比较常用的例子是,触发安全告警提取告警中的攻击IP信息,查询微步情报库,判断是否是恶意IP,如果是则对该IP进行WAF封堵操作,然后关闭该告警。如果查询到该IP是非恶意IP,直接关闭该告警,将处理信息填充为“误报”。

通过调用情报中心的各类API,实现情报的查询,比如查询IP、域名和文件Hash

本博客文章除特别声明外,均可自由转载与引用,转载请标注原文出处:http://www.yelbee.top/index.php/archives/204/

最后编辑于: 2024 年 10 月 17 日
返回文章列表 打赏
本页链接的二维码
打赏二维码
添加新评论