國內(nèi)網(wǎng)絡(luò)安全信息與事件管理類產(chǎn)品研究與測試報(bào)告-D

1、國內(nèi)網(wǎng)絡(luò)安全信息與事件管理類產(chǎn)品研究與測試報(bào)告目錄 HYPERLINK l _bookmark0 一、安全運(yùn)營的演變與發(fā)展1 HYPERLINK l _bookmark1 （一）安全運(yùn)營的定義1 HYPERLINK l _bookmark4 （二）安全運(yùn)營的發(fā)展2 HYPERLINK l _bookmark5 （三）安全運(yùn)營的技術(shù)實(shí)踐3 HYPERLINK l _bookmark7 二、安全信息實(shí)踐管理技術(shù)發(fā)展現(xiàn)狀5 HYPERLINK l _bookmark8 （一）技術(shù)早期發(fā)展5 HYPERLINK l _bookmark12 （二）基礎(chǔ)核心能力6 HYPERLINK l _bookmar

2、k15 三、國內(nèi) SIEM/SOC 類產(chǎn)品應(yīng)用現(xiàn)狀9 HYPERLINK l _bookmark16 （一） 國內(nèi)企業(yè)安全運(yùn)營態(tài)勢畫像9 HYPERLINK l _bookmark17 安全檢測類產(chǎn)品部署現(xiàn)狀9 HYPERLINK l _bookmark19 安全警報(bào)數(shù)量現(xiàn)狀10 HYPERLINK l _bookmark23 企業(yè)安全運(yùn)營&威脅發(fā)現(xiàn)能力現(xiàn)狀12 HYPERLINK l _bookmark27 （二） 國內(nèi)安全信息和事件管理類產(chǎn)品應(yīng)用現(xiàn)狀15 HYPERLINK l _bookmark28 安全信息和事件管理類產(chǎn)品國內(nèi)部署現(xiàn)狀15 HYPERLINK l _bookmark31

3、 安全信息和事件管理類產(chǎn)品使用效果評價(jià)17 HYPERLINK l _bookmark34 企業(yè)對 SIEM 集成安全能力的期望19 HYPERLINK l _bookmark36 企業(yè)對 SIEM 產(chǎn)品期望改進(jìn)的能力20 HYPERLINK l _bookmark38 四、SIEM/SOC 類產(chǎn)品測試情況綜述22 HYPERLINK l _bookmark39 （一）測試基本情況22 HYPERLINK l _bookmark41 （二）測試環(huán)境介紹23 HYPERLINK l _bookmark43 （三）測試方法說明24 HYPERLINK l _bookmark46 （四）測試對象范圍

4、25 HYPERLINK l _bookmark47 （五）測試內(nèi)容簡介26 HYPERLINK l _bookmark49 五、SIEM/SOC 類產(chǎn)品測試結(jié)果總體分析28 HYPERLINK l _bookmark50 （一）日志采集告警與基礎(chǔ)分析支持較好29 HYPERLINK l _bookmark54 （二）自動(dòng)化編排能力有待深化31 HYPERLINK l _bookmark57 （三）安全合規(guī)審計(jì)能力亟需加強(qiáng)33 HYPERLINK l _bookmark62 （四）系統(tǒng)自身安全管理功能完善36 HYPERLINK l _bookmark66 （五）Web 和業(yè)務(wù)安全漏洞均有存在

5、38 HYPERLINK l _bookmark68 六、SIEM/SOC 類產(chǎn)品威脅識(shí)別能力分析40 HYPERLINK l _bookmark69 （一）各類網(wǎng)絡(luò)攻擊發(fā)現(xiàn)和分析的能力40 HYPERLINK l _bookmark72 （二）多步驟攻擊發(fā)現(xiàn)和關(guān)聯(lián)分析的能力41 HYPERLINK l _bookmark76 七、SIEM/SOC 類產(chǎn)品態(tài)勢感知能力分析43 HYPERLINK l _bookmark77 （一）攻擊和威脅態(tài)勢感知能力分析43 HYPERLINK l _bookmark80 （二）資產(chǎn)和運(yùn)行態(tài)勢感知能力分析45 HYPERLINK l _bookmark84

6、（三）用戶實(shí)體畫像和 UEBA 能力分析46 HYPERLINK l _bookmark87 八、SIEM/SOC 類產(chǎn)品趨勢展望48 HYPERLINK l _bookmark89 （一）“智能 SIEM”將引領(lǐng)新一代 SIEM 能力發(fā)展49 HYPERLINK l _bookmark91 智能化：AI+自動(dòng)化驅(qū)動(dòng)50 HYPERLINK l _bookmark94 主動(dòng)化：威脅感知與主動(dòng)防御53 HYPERLINK l _bookmark96 集成化：多元安全能力高效聯(lián)動(dòng)55 HYPERLINK l _bookmark97 MITRE ATT&CK 框架助推安全運(yùn)營能力提升56 HYPER

7、LINK l _bookmark99 （二）多元安全能力組合成新趨勢59 HYPERLINK l _bookmark100 （三）AI&自動(dòng)化驅(qū)動(dòng)智能化轉(zhuǎn)型60 HYPERLINK l _bookmark101 （四）云端部署能力持續(xù)擴(kuò)展60 HYPERLINK l _bookmark102 （五）需求落地向業(yè)務(wù)導(dǎo)向型轉(zhuǎn)變61 HYPERLINK l _bookmark103 （六）多行業(yè)標(biāo)準(zhǔn)化交付能力待提升61 HYPERLINK l _bookmark104 九、 SIEM/SOC 類產(chǎn)品能力分組62 HYPERLINK l _bookmark105 （一）綜合技術(shù)能力組（8 家）62 H

8、YPERLINK l _bookmark106 （二）日志采集識(shí)別與告警能力組（8 家）62 HYPERLINK l _bookmark107 （三）威脅情報(bào)采集與安全分析能力（8 家）63 HYPERLINK l _bookmark108 （四）態(tài)勢感知能力（8 家）63 HYPERLINK l _bookmark109 （五）ATT&CK 攻擊鏈溯源能力（8 家）63 HYPERLINK l _bookmark110 （六）安全治理能力（8 家）64 HYPERLINK l _bookmark111 （七）安全編排和全過程自動(dòng)化能力（SOAR）（8 家）64 HYPERLINK l _bo

9、okmark112 （八）用戶和實(shí)體行為分析能力（UEBA）（8 家）65 HYPERLINK l _bookmark113 關(guān)于66圖 目 錄 HYPERLINK l _bookmark2 圖 1Cybersecurity Framework1 HYPERLINK l _bookmark13 圖 2常見 SIEM 工作流6 HYPERLINK l _bookmark18 圖 3企業(yè)部署網(wǎng)絡(luò)安全檢測類產(chǎn)品的數(shù)量比例10 HYPERLINK l _bookmark20 圖 4企業(yè)安全事件警報(bào)數(shù)量11 HYPERLINK l _bookmark21 圖 5企業(yè)安全警報(bào)有效事件處理11 HYPERL

10、INK l _bookmark22 圖 6企業(yè)安全警報(bào)數(shù)量增加原因12 HYPERLINK l _bookmark24 圖 7企業(yè)威脅發(fā)現(xiàn)能力評價(jià)13 HYPERLINK l _bookmark25 圖 8企業(yè)安全運(yùn)營能力評價(jià)14 HYPERLINK l _bookmark26 圖 9企業(yè)安全運(yùn)營能力缺陷問題分析15 HYPERLINK l _bookmark29 圖 10 企業(yè)是否選擇部署安全信息和事件管理類產(chǎn)品16 HYPERLINK l _bookmark30 圖 11 國內(nèi)企業(yè)品牌選擇17 HYPERLINK l _bookmark32 圖 12 產(chǎn)品使用效果評價(jià)18 HYPERLIN

11、K l _bookmark33 圖 13 企業(yè)對 SIEM 類產(chǎn)品不滿意調(diào)查19 HYPERLINK l _bookmark35 圖 14 企業(yè)對 SIEM 集成安全能力的期望20 HYPERLINK l _bookmark37 圖 15 企業(yè)期盼改進(jìn)的能力21 HYPERLINK l _bookmark42 圖 16 測試網(wǎng)絡(luò)拓?fù)鋱D23 HYPERLINK l _bookmark44 圖 17 IXIA PerfectStorm ONE 流量發(fā)生器 Web 界面25 HYPERLINK l _bookmark45 圖 18 IXIA Vision E40 分流設(shè)備25 HYPERLINK l

12、 _bookmark51 圖 19 受測產(chǎn)品主要功能滿足率29 HYPERLINK l _bookmark52 圖 20 威脅情報(bào)能力30 HYPERLINK l _bookmark53 圖 21 受測產(chǎn)品主要能力占比31 HYPERLINK l _bookmark55 圖 22 受測產(chǎn)品 SOAR 能力占比32 HYPERLINK l _bookmark56 圖 23 SOAR 功能界面示意圖33 HYPERLINK l _bookmark58 圖 24 等級保護(hù) 2.0 審計(jì)功能示意圖34 HYPERLINK l _bookmark59 圖 25 等級保護(hù) 2.0 審計(jì)功能占比35 HYP

13、ERLINK l _bookmark60 圖 26 安全治理數(shù)據(jù)功能示意圖35 HYPERLINK l _bookmark61 圖 27 安全治理數(shù)據(jù)功能36 HYPERLINK l _bookmark63 圖 28 自身安全管理配置功能示意圖37 HYPERLINK l _bookmark64 圖 29 自身安全管理配置功能示意圖37 HYPERLINK l _bookmark65 圖 30 產(chǎn)品自身安全管理功能結(jié)果比例圖38 HYPERLINK l _bookmark67 圖 31 受測產(chǎn)品應(yīng)用安全漏洞情況39 HYPERLINK l _bookmark70 圖 32 網(wǎng)絡(luò)攻擊識(shí)別能力示意

14、圖 140 HYPERLINK l _bookmark71 圖 33 網(wǎng)絡(luò)攻擊識(shí)別能力示意圖 241 HYPERLINK l _bookmark73 圖 34 攻擊鏈識(shí)別功能示意圖41 HYPERLINK l _bookmark74 圖 35 受測產(chǎn)品 ATT&CK 測試結(jié)果42 HYPERLINK l _bookmark78 圖 36 攻擊和威脅態(tài)勢感知功能示意圖44 HYPERLINK l _bookmark79 圖 37 攻擊和威脅態(tài)勢感知測試結(jié)果44 HYPERLINK l _bookmark81 圖 38 資產(chǎn)態(tài)勢感知功能示意圖45 HYPERLINK l _bookmark82 圖

15、 39 運(yùn)行態(tài)勢感知功能示意圖46 HYPERLINK l _bookmark83 圖 40 資產(chǎn)和運(yùn)行態(tài)勢感知測試結(jié)果46 HYPERLINK l _bookmark85 圖 41 UEBA 分析功能示意圖47 HYPERLINK l _bookmark86 圖 42 用戶實(shí)體和 UEBA 分析能力測試結(jié)果48 HYPERLINK l _bookmark88 圖 43 SIEM 技術(shù)快速發(fā)展49 HYPERLINK l _bookmark90 圖 44 新一代 SIEM 的能力范疇50 HYPERLINK l _bookmark92 圖 45 兩種機(jī)器學(xué)習(xí)類型51 HYPERLINK l _

16、bookmark93 圖 46 Gartner 對 SOAR 技術(shù)能力的定義52 HYPERLINK l _bookmark95 圖 47 威脅情報(bào)平臺(tái)與 SIEM 等安全產(chǎn)品聯(lián)動(dòng)示例54 HYPERLINK l _bookmark98 圖 48 ATT&CK 矩陣圖57表 目 錄 HYPERLINK l _bookmark6 表 1安全運(yùn)營各類形態(tài)要點(diǎn)整理3 HYPERLINK l _bookmark14 表 2SIEM/SOC 日志匯總的四種方式7 HYPERLINK l _bookmark40 表 3各企業(yè)到場測試產(chǎn)品臺(tái)數(shù)22 HYPERLINK l _bookmark48 表 4SIE

17、M/SOC 類產(chǎn)品測試項(xiàng)目表27國內(nèi)網(wǎng)絡(luò)安全信息與事件管理類產(chǎn)品研究與測試報(bào)告（2021 年） PAGE 69一、安全運(yùn)營的演變與發(fā)展（一）安全運(yùn)營的定義 HYPERLINK l _bookmark3 3根據(jù) 2014 年美國 NISTF 發(fā)布的 Cybersecurity Framework，安全運(yùn)營可以拆解為 5 個(gè)版塊：風(fēng)險(xiǎn)識(shí)別（Identify）、安全防御（Protect）、安全檢測（Detect）、安全響應(yīng)（Response）和安全恢復(fù)（Recovery）。而安全運(yùn)營的核心即解決問題，通過提出安全解決構(gòu)想、驗(yàn)證效果、分析問題、診斷問題、協(xié)調(diào)資源解決問題并持續(xù)迭代優(yōu)化，推動(dòng)整體安全目標(biāo)

18、的實(shí)現(xiàn)。資料來源：NIST圖 1Cybersecurity Framework隨著企業(yè)規(guī)模變大、面臨的威脅環(huán)境更為復(fù)雜，如何通過有限的人員對數(shù)量龐大的安全事件進(jìn)行管理與響應(yīng)，如何將安全工作與業(yè)務(wù)有效結(jié)合更好地賦能業(yè)務(wù)，是安全運(yùn)營不斷發(fā)展、優(yōu)化的目的所在。3 NIST：National Institute of Standards and Technology，指美國國家標(biāo)準(zhǔn)與技術(shù)研究院。（二）安全運(yùn)營的發(fā)展經(jīng)過近 30 年的發(fā)展，國內(nèi)的安全運(yùn)營從粗放型逐漸轉(zhuǎn)向業(yè)務(wù)與技術(shù)雙驅(qū)動(dòng)的精細(xì)化運(yùn)營?；A(chǔ)架構(gòu)階段八九十年代末，計(jì)算機(jī)應(yīng)用迅速拓展，第一批計(jì)算機(jī)安全相關(guān)政策、舉措開始實(shí)施，重點(diǎn)行業(yè)、大型企業(yè)的

19、安全需求開始顯現(xiàn)。這一時(shí)期，頭部行業(yè)的企事業(yè)單位正視網(wǎng)絡(luò)安全，將其作為系統(tǒng)建設(shè)中的重要內(nèi)容之一，并且建立專門的安全部門以開展信息安全工作。網(wǎng)絡(luò)安全廠商迎來初步發(fā)展期，將其主要研發(fā)精力投入于防火墻、IDS、殺毒軟件三大件上，奠定了傳統(tǒng)的安全運(yùn)營基礎(chǔ)架構(gòu)?？焖侔l(fā)展階段九十年代末至 2010 年，國內(nèi)網(wǎng)絡(luò)安全行業(yè)基本結(jié)束野蠻生長階段。等級保護(hù)相關(guān)標(biāo)準(zhǔn)規(guī)范體系相繼密集出臺(tái)，中小型企業(yè)、傳統(tǒng)企業(yè)將補(bǔ)全安全能力作為主要安全建設(shè)工作，而安全運(yùn)營的主要手段依然以防火墻、IDS、防病毒為主，呈現(xiàn)快速發(fā)展、被動(dòng)防御的特點(diǎn)。體系化階段2010 年后，隨著國內(nèi)大部分企業(yè)完成信息安全建設(shè)進(jìn)程，國家和企業(yè)對于合規(guī)需求進(jìn)一

20、步升級，安全運(yùn)營迎來體系化發(fā)展階段。安全管理中心、態(tài)勢感知等安全運(yùn)營理念在信息系統(tǒng)建設(shè)中同步運(yùn)用。企業(yè)將安全運(yùn)營作為體系化工作開展，以基礎(chǔ)安全設(shè)備為邊界防護(hù)，內(nèi)部建立完整的安全運(yùn)營中心/體系，進(jìn)行整體安全規(guī)劃、逐步開展自研并引入國內(nèi)外多種安全運(yùn)營理念。技術(shù)驅(qū)動(dòng)階段2018 年后，AI、大數(shù)據(jù)、云計(jì)算飛速發(fā)展，新技術(shù)催生了新的業(yè)務(wù)場景，也讓企業(yè)面臨傳統(tǒng)安全邊界消失、攻擊面無處不在、業(yè)務(wù)增長帶來的數(shù)據(jù)量暴增等問題。為了實(shí)現(xiàn)快速、持續(xù)的響應(yīng)，安全人員不得不與復(fù)雜的操作流程以及匱乏的資源、技能和預(yù)算做斗爭。然而此起彼伏的安全事件讓安全運(yùn)營人員即便依托安全運(yùn)營平臺(tái)，仍然疲于應(yīng)付。企業(yè)開始尋求更高效、自動(dòng)

21、化的安全運(yùn)營方式， 安全運(yùn)營從被動(dòng)式轉(zhuǎn)變?yōu)橹鲃?dòng)式，注重從防御、檢測、響應(yīng)和預(yù)測四個(gè)維度構(gòu)建縱深的網(wǎng)絡(luò)安全運(yùn)營體系。（三）安全運(yùn)營的技術(shù)實(shí)踐本質(zhì)上，安全運(yùn)營是一個(gè)安全理念和運(yùn)營體系，而在國內(nèi)外落地過程中，安全運(yùn)營逐漸衍生出多種形態(tài)，如常見的 SIEM、SOC、態(tài)勢感知平臺(tái)等。一般來說，不同國家、不同廠商對于某一安全運(yùn)營產(chǎn)品/解決方案的名稱可能存在差異，通過目前市面上已有的安全運(yùn)營產(chǎn)品/服務(wù)/架構(gòu)的了解，能夠幫助企業(yè)更好地理解安全運(yùn)營是如何把技術(shù)、流程和人結(jié)合起來服務(wù)于安全的。表 1 安全運(yùn)營各類形態(tài)要點(diǎn)整理序號落地形態(tài)類別適用企業(yè)重要組件/技術(shù)重要功能1SIEM安全信息和事件管理技術(shù)、產(chǎn)品中小型

22、企 業(yè)；大型組織日志管理系統(tǒng)、多個(gè)檢測和分析組件聚集系統(tǒng)日志和事件，使用關(guān)聯(lián)和統(tǒng)計(jì)模型識(shí)別潛在的安全事件，向安全人員發(fā)出警報(bào)，并提供上下文信息以協(xié)助調(diào)查2SOC安全運(yùn)營中心技術(shù)、流程、組織安全體系建設(shè)完善的企業(yè)；大型組織漏洞掃描程序、滲透測試工具、入侵檢測系統(tǒng)、端點(diǎn)檢測和響應(yīng)（EDR）、日志管理系統(tǒng)協(xié)助管理人員進(jìn)行事件分析、風(fēng)險(xiǎn)分析、預(yù)警管理和應(yīng)急響應(yīng)處理3NGSOC態(tài)勢感知與安全運(yùn)營平臺(tái)技術(shù)、流程、組織安全體系建設(shè)完善的企業(yè)；大型組織大數(shù)據(jù)平臺(tái)、基于威脅情報(bào)的監(jiān)測、數(shù)據(jù)采集、基于機(jī)器學(xué)習(xí)的安全分析海量數(shù)據(jù)、關(guān)聯(lián)分析、對安全趨勢的預(yù)測4SRC安全應(yīng)急響應(yīng)中心組織安全體系建設(shè)完善的企業(yè)漏洞報(bào)告平

23、臺(tái)/xSRC情報(bào)搜集和匯總、事件處理，建立內(nèi)部和外界的溝通5SOAPA安全運(yùn)營和分析平臺(tái)架構(gòu)架構(gòu)、組織大型組織端點(diǎn)檢測/響應(yīng)（EDR）、事故響應(yīng)平臺(tái)（IRP）、反惡意軟件沙箱、漏洞掃描器和安全資產(chǎn)管理基于架構(gòu)的分析管理，安全分析人員能采用不同工具，進(jìn)行實(shí)時(shí)的數(shù)據(jù)挖掘和威脅處置資料來源：F在以上多個(gè)安全運(yùn)營形態(tài)中，技術(shù)、流程和人都必不可缺，且安全運(yùn)營能力重點(diǎn)體現(xiàn)在數(shù)據(jù)收集、事件分析及響應(yīng)等方面。近幾年，安全運(yùn)營的各種形態(tài)在不斷集成、融合其他安全技術(shù)、工具和策略，在優(yōu)化發(fā)展過程中，不同的安全運(yùn)營平臺(tái)/產(chǎn)品相互之間存在一定的功能交叉甚至重合。比如，SIEM 作為重要的檢測響應(yīng)技術(shù)，被 SOC、SOA

24、PA 等多個(gè)安全運(yùn)營形態(tài)采用與融合，并且在安全運(yùn)營中扮演重要角色。因此，盡管 SIEM、SOC 等在能力側(cè)重點(diǎn)、技術(shù)等細(xì)節(jié)上存在差異，但在安全運(yùn)營能力的整體提升方面的目標(biāo)仍然是一致的。二、安全信息實(shí)踐管理技術(shù)發(fā)展現(xiàn)狀（一）技術(shù)早期發(fā)展在SIEM 萌芽階段，收集 IT 網(wǎng)絡(luò)資源產(chǎn)生的各種日志，進(jìn)行存儲(chǔ)和查詢的日志管理是行業(yè)主流。而建立在日志管理之上的 SIM HYPERLINK l _bookmark9 4和SEM HYPERLINK l _bookmark10 5就在這一時(shí)期出現(xiàn)。初代 SIEM 的定義也由此開啟，2005 年， Gartner 首次將SIM 和SEM 整合到一起，并提出了SI

25、EM 的概念，為安全運(yùn)營和管理揭開了新的篇章。此后，隨著安全合規(guī)政策的出現(xiàn)，又衍生出了新一代日志管理技術(shù)LM HYPERLINK l _bookmark11 6。LM 與前者的區(qū)別在于，更加強(qiáng)調(diào)日志的廣泛收集、海量存儲(chǔ)、原始日志保留及安全合規(guī)，并借鑒搜索引擎技術(shù)實(shí)現(xiàn)快速檢索分析能力?，F(xiàn)代SIEM 的定義實(shí)質(zhì)上融合了SIM、SEM、LM 三者，盡管各個(gè)廠商產(chǎn)品間的重點(diǎn)技術(shù)能力略有區(qū)分，但以此為基礎(chǔ)的大方向是一致的：即基于大數(shù)據(jù)基礎(chǔ)架構(gòu)的集成式SIEM，為來自企業(yè)和組織中所有IT 資源產(chǎn)生的安全信息（日志、告警等）進(jìn)行統(tǒng)一實(shí)時(shí)監(jiān)控、歷史分析，對來自外部的入侵和內(nèi)部的違規(guī)、誤操作行為進(jìn)行監(jiān)控、審計(jì)分

26、析、調(diào)查取證、出具報(bào)表報(bào)告，實(shí)現(xiàn) IT 資源合規(guī)性管理的目標(biāo)。2010 年后，伴隨著安全運(yùn)營的熱度SIEM 同樣迎來蓬勃發(fā)展期，4 SIM：Security Information Management，指安全信息管理。5 SEM：Security Event Management，指安全事件管理。6 LM：Log Management，日志管理在市場占領(lǐng)和技術(shù)成熟度上都有了突破。2013 年，SIEM 全球市場規(guī)模達(dá)到 15 億美元，相比 2012 年度增長 16%，預(yù)示著SIEM 市場完全成熟且競爭激烈。同時(shí)，在合規(guī)要求下，SIEM 的目標(biāo)群體轉(zhuǎn)向中小型企業(yè)，為了解決小型企業(yè)無力購買整體S

27、IEM 解決方案/服務(wù)、缺乏管理SIEM 的專業(yè)員工等問題，SIEM 開始在產(chǎn)品形態(tài)、功能，還有商業(yè)模式上進(jìn)行創(chuàng)新，推出 SaaS 軟件即服務(wù)，進(jìn)一步推動(dòng) SIEM 的廣泛部署。（二）基礎(chǔ)核心能力SIEM/SOC 的核心功能包括了日志收集、跨源關(guān)聯(lián)和分析事件能力等，常見SIEM 工作流程可參考下圖：資料來源：FreeB圖 2常見 SIEM 工作流SIEM 在數(shù)據(jù)流水線的每個(gè)階段都需要進(jìn)行精細(xì)的管理、數(shù)據(jù)提取、策略、查看警報(bào)和分析異常。其中，SIEM 的核心技術(shù)點(diǎn)包括：日志采集及處理SIEM 需要從企業(yè)相關(guān)組織系統(tǒng)中廣泛收集日志和事件，每個(gè)設(shè)備每次發(fā)生某事時(shí)都會(huì)生成一個(gè)事件，并將事件收集到平面日

28、志文件或數(shù)據(jù)庫中。SIEM 的任務(wù)是從設(shè)備收集數(shù)據(jù)，對其進(jìn)行標(biāo)準(zhǔn)化并將其保存為能夠進(jìn)行分析的格式。一般來講，SIEM 通過四種方式收集數(shù)據(jù)：表 2 SIEM/SOC 日志匯總的四種方式系統(tǒng)日志標(biāo)準(zhǔn)的記錄協(xié)議。網(wǎng)絡(luò)管理員可以設(shè)置一臺(tái) Syslog 服務(wù)器，以接收來自多個(gè)系統(tǒng)的日志，并將其以高效，簡潔的格式存儲(chǔ)，該格式易于查詢。事件流SNMP/Netflow/IPFIX 等協(xié)議允許網(wǎng)絡(luò)設(shè)備提供有關(guān)其操作的標(biāo)準(zhǔn)信息，這些信息可以被日志聚合器攔截，解析并添加到中央日志存儲(chǔ)中。日志收集器在網(wǎng)絡(luò)設(shè)備上運(yùn)行的軟件代理，捕獲日志信息，對其進(jìn)行解析，然后將其發(fā)送到集中的聚合器組件以進(jìn)行存儲(chǔ)和分析。直接訪問日志聚

29、合器可以使用 API 或網(wǎng)絡(luò)協(xié)議直接訪問網(wǎng)絡(luò)設(shè)備或計(jì)算系統(tǒng)，以直接接收日志。這種方法需要對每個(gè)數(shù)據(jù)源進(jìn)行自定義集成。數(shù)據(jù)來源：FreeB在日志采集后，SIEM 還需要進(jìn)行日志處理，即從多個(gè)來源獲取原始系統(tǒng)日志后，識(shí)別其結(jié)構(gòu)或架構(gòu)并將其轉(zhuǎn)變?yōu)橐恢碌臉?biāo)準(zhǔn)化數(shù)據(jù)源的技術(shù)。日志關(guān)聯(lián)分析SIEM 需要匯總所有歷史日志數(shù)據(jù)并進(jìn)行實(shí)時(shí)分析警報(bào)，通常通過分析數(shù)據(jù)建立關(guān)系，以幫助識(shí)別異常、漏洞和事件，這也是SIEM 最關(guān)鍵的一項(xiàng)能力。傳統(tǒng) SIEM 產(chǎn)品使用關(guān)聯(lián)規(guī)則和脆弱性和風(fēng)險(xiǎn)評估技術(shù)從日志數(shù)據(jù)生成警報(bào)，但是這兩種技術(shù)存在誤報(bào)及新型威脅難以抵御地風(fēng)險(xiǎn)，因此部分頭部 SIEM 廠商積極應(yīng)用實(shí)時(shí)關(guān)聯(lián)分析引擎，分析

30、數(shù)據(jù)包括對安全事件、漏洞信息、監(jiān)控列表、資產(chǎn)信息、網(wǎng)絡(luò)信息等信息，同時(shí)應(yīng)用機(jī)器學(xué)習(xí)、用戶行為分析等高級分析技術(shù)，著力提高SIEM 的智能分析能力。安全產(chǎn)出SIEM 處于安全運(yùn)營的關(guān)鍵環(huán)節(jié)，其應(yīng)用目的之一便是幫助安全運(yùn)營人員高效處理安全事件。因此清晰完善的安全產(chǎn)出尤為重要。例如根據(jù)安全事件產(chǎn)出相關(guān)報(bào)告，如人員異常登錄報(bào)告、惡意軟件活動(dòng)報(bào)等，同時(shí)根據(jù)事件分析產(chǎn)生安全警報(bào)。SIEM 安全產(chǎn)出主要提供警報(bào)和通知、儀表盤、數(shù)據(jù)探索及API 和WEB 服務(wù)等能力。盡管SIEM 在事件分析和響應(yīng)上已有成熟的體系，但近幾年趨向復(fù)雜化、高級化的網(wǎng)絡(luò)攻擊依然對于以 SIEM 為主要解決方案的安全運(yùn)營提出了挑戰(zhàn)。一

31、是 SIEM 采用關(guān)系數(shù)據(jù)庫技術(shù)構(gòu)建，但隨著日志數(shù)據(jù)源的數(shù)量增加，數(shù)據(jù)庫的負(fù)載不斷加重，限制了實(shí)時(shí)響應(yīng)能力； 二是SIEM 在運(yùn)行中會(huì)產(chǎn)生大量告警事件，“告警過載”等于無告警；三是SIEM 采用模式匹配引擎技術(shù)（簽名技術(shù)）進(jìn)行上下文的匹配，容易產(chǎn)生大量誤報(bào)；四是SIEM 簡單地將事件的嚴(yán)重程度劃分為高、中、低，缺乏細(xì)致的決策參考，對企業(yè)網(wǎng)絡(luò)安全專業(yè)人才的技能提出更高的要求。根據(jù)CMS Distribution 公司對企業(yè)安全運(yùn)營的技術(shù)調(diào)研發(fā)現(xiàn)， 傳統(tǒng)的SIEM 解決方案產(chǎn)生大量告警事件使得安全運(yùn)營人員分身乏術(shù)， 同時(shí)專業(yè)安全技能人才的缺失，使得傳統(tǒng) SIEM 解決方案的平均壽命已經(jīng)縮短到 18

32、-24 個(gè)月，無法有效應(yīng)對云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能新時(shí)代的網(wǎng)絡(luò)安全挑戰(zhàn)。當(dāng) SIEM 的不足開始凸顯，企業(yè)的安全水位線難以被滿足，也亟須 SIEM 有新的突破以應(yīng)對更高級的威脅。三、國內(nèi) SIEM/SOC 類產(chǎn)品應(yīng)用現(xiàn)狀（一）國內(nèi)企業(yè)安全運(yùn)營態(tài)勢畫像1.安全檢測類產(chǎn)品部署現(xiàn)狀大多數(shù)企業(yè)都依靠部署安全產(chǎn)品和解決方案管理安全和合規(guī)建設(shè)。根據(jù)調(diào)研結(jié)果，有 33.5%的受訪企業(yè)部署了 11 個(gè)以上的網(wǎng)絡(luò)安全檢測類產(chǎn)品，部署數(shù)量在 6-10 之間的企業(yè)占比為 16.7%。數(shù)據(jù)來源：FreeB圖 3企業(yè)部署網(wǎng)絡(luò)安全檢測類產(chǎn)品的數(shù)量比例直觀地看，通過眾多安全檢測類產(chǎn)品的部署，企業(yè)具備相對成熟的單點(diǎn)安

33、全防護(hù)能力，安全團(tuán)隊(duì)能夠解決大部分基礎(chǔ)安全問題。此外，企業(yè)對安全建設(shè)的投入和重視程度也可見一斑。安全警報(bào)數(shù)量現(xiàn)狀隨著安全檢測產(chǎn)品部署數(shù)量的增加，勢必會(huì)產(chǎn)生更多的安全警報(bào)。對此，報(bào)告分別針對企業(yè)安全警報(bào)數(shù)量、安全警報(bào)變化狀態(tài)和產(chǎn)生原因進(jìn)行了調(diào)研，詳細(xì)調(diào)研結(jié)果如下：過去 1 年中，企業(yè)安全事件警報(bào)的數(shù)量如何變化？數(shù)據(jù)來源：FreeB圖 4企業(yè)安全事件警報(bào)數(shù)量調(diào)研結(jié)果顯示，38.5%的受訪企業(yè)在過去一年間的安全事件警報(bào)數(shù)量顯著增加（增加 1 倍-2 倍），19.2%的企業(yè)在過去一年間的安全警報(bào)數(shù)量呈現(xiàn)大幅增加（超過 2 倍 以上），僅有 7.7%的企業(yè)表示過去一年的安全警報(bào)數(shù)量幾乎沒有變化。企業(yè)過去

34、一年間大約處置了多少有效安全警報(bào)事件？數(shù)據(jù)來源：FreeB圖 5企業(yè)安全警報(bào)有效事件處理調(diào)研結(jié)果顯示，23.1%的受訪企業(yè)在過去一年間處置了 100000+ 的安全警報(bào)，僅有 9.1%的企業(yè)在過去一年間處置了少于 100 的安全警報(bào)。是什么問題導(dǎo)致安全警報(bào)事件增加？數(shù)據(jù)來源：FreeB圖 6企業(yè)安全警報(bào)數(shù)量增加原因根據(jù)調(diào)研結(jié)果，共有 63.7%的受訪企業(yè)認(rèn)為【威脅數(shù)量日益增加】、【部署的安全產(chǎn)品逐漸增多】、【內(nèi)部用戶及資產(chǎn)數(shù)量增加】是企業(yè)安全警報(bào)數(shù)量激增的核心原因。企業(yè)安全運(yùn)營&威脅發(fā)現(xiàn)能力現(xiàn)狀針對企業(yè)安全運(yùn)營&威脅發(fā)現(xiàn)能力現(xiàn)狀，報(bào)告分別從企業(yè)威脅發(fā)現(xiàn)能力自評、企業(yè)安全運(yùn)營能力自評、企業(yè)安全運(yùn)

35、營問題三個(gè)方面進(jìn)行了調(diào)研。詳細(xì)調(diào)研結(jié)果如下：企業(yè)目前威脅發(fā)現(xiàn)能力的評價(jià)為：數(shù)據(jù)來源：FreeB圖 7企業(yè)威脅發(fā)現(xiàn)能力評價(jià)根據(jù)調(diào)研結(jié)果，四成的受訪企業(yè)認(rèn)為自己【有完善的邊界防御體系，可及時(shí)發(fā)現(xiàn)入侵行為，但仍存在改進(jìn)空間】，僅有 14.8%的受訪用戶具備自信并表示自己【建立了全面和縱深防御體系，可快速發(fā)現(xiàn)入侵者】。企業(yè)目前的安全運(yùn)營能力評價(jià)為：數(shù)據(jù)來源：FreeB圖 8企業(yè)安全運(yùn)營能力評價(jià)根據(jù)調(diào)研結(jié)果，半數(shù)受訪企業(yè)認(rèn)為安全運(yùn)營能力處于【有專職的安全運(yùn)營人員，可以實(shí)現(xiàn)高風(fēng)險(xiǎn)安全事件的響應(yīng)，但人力資源會(huì)擱置一般性風(fēng)險(xiǎn)事件】的階段。值得關(guān)注的是，安全運(yùn)營能力成熟度最高級和最低級的企業(yè)比例相當(dāng)，這也意味著

36、目前國內(nèi)企業(yè)安全運(yùn)營能力仍處于兩極分化階段，不乏已經(jīng)在安全建設(shè)及運(yùn)營階段走在前列的國內(nèi)企業(yè)，但同時(shí)仍舊有部分企業(yè)處于初級救火隊(duì)的階段。企業(yè)面臨著哪些安全運(yùn)營問題？數(shù)據(jù)來源：FreeB圖 9企業(yè)安全運(yùn)營能力缺陷問題分析根據(jù)調(diào)研結(jié)果，【缺乏有效的自動(dòng)化工具】、【安全運(yùn)營可視化能力弱】、【缺乏有效的威脅跟蹤和管理平臺(tái)】、【安全運(yùn)營人員經(jīng)驗(yàn)不足】是大多數(shù)企業(yè)面臨的運(yùn)營問題。（二）國內(nèi)安全信息和事件管理類產(chǎn)品應(yīng)用現(xiàn)狀安全信息和事件管理類產(chǎn)品國內(nèi)部署現(xiàn)狀企業(yè)是否選擇部署安全信息和事件管理類產(chǎn)品？數(shù)據(jù)來源：FreeB圖 10 企業(yè)是否選擇部署安全信息和事件管理類產(chǎn)品從調(diào)研結(jié)果來看，針對安全信息和事件管理類產(chǎn)

37、品的部署選擇， 有 46.9%的企業(yè)已經(jīng)部署SIEM/SOC 產(chǎn)品。同時(shí)報(bào)告也觀察到，近九成企業(yè)不會(huì)選擇單獨(dú)部署SIEM/SOC 產(chǎn)品，同時(shí)還會(huì)配合 UEBA、SOAR、漏洞管理等產(chǎn)品進(jìn)行綜合應(yīng)用。企業(yè)部署商用安全信息和事件管理類產(chǎn)品的品牌選擇：商用安全信息和事件管理類產(chǎn)品的廠商品牌較多，競爭也非常激烈。根據(jù)調(diào)研結(jié)果，國內(nèi)企業(yè)對安全信息和事件管理類產(chǎn)品的品牌選擇上，國外廠商并不占據(jù)壓倒性優(yōu)勢地位，有 51.1%的企業(yè)選擇部署國內(nèi)廠商的產(chǎn)品。數(shù)據(jù)來源：FreeB圖 11 國內(nèi)企業(yè)品牌選擇國內(nèi)廠商布局安全信息和事件管理類產(chǎn)品也是近幾年開始的動(dòng)作，在 Gartner 歷年發(fā)布的SIEM 產(chǎn)品魔力象限

38、中，無論在市場還是技術(shù)領(lǐng)域，無一例外都是國外廠商占據(jù)領(lǐng)導(dǎo)者地位。但隨著近幾年國內(nèi)安全信息和事件管理類產(chǎn)品市場的猛烈需求和發(fā)展，國內(nèi)廠商也在紛紛投入精力切入該市場，根據(jù)該調(diào)研結(jié)果也能看到國產(chǎn)廠商在國內(nèi)安全信息和事件管理類產(chǎn)品市場發(fā)展中所做的努力與成果。安全信息和事件管理類產(chǎn)品使用效果評價(jià)針對已部署SIEM 地調(diào)研對象，54.8%的企業(yè)認(rèn)為部署 SIEM 對企業(yè)安全運(yùn)營效率提升的效果一般，32.7%的企業(yè)認(rèn)為部署 SIEM 可以顯著提升企業(yè)安全運(yùn)營效率。數(shù)據(jù)來源：FreeB圖 12 產(chǎn)品使用效果評價(jià)根據(jù)調(diào)研，企業(yè)用戶對現(xiàn)階段 SIEM 產(chǎn)品不滿意的問題主要集中在以下六個(gè)方面：【價(jià)格高昂】、【產(chǎn)品操

39、作復(fù)雜，對安全運(yùn)營人員的技術(shù)要求較高】、【日志關(guān)聯(lián)分析能力弱】、【誤報(bào)率過高】、【占據(jù)大量安全資源，需要巨大的安全運(yùn)營投入】、【與第三方安全工具的集成性較差】。數(shù)據(jù)來源：FreeB圖 13 企業(yè)對 SIEM 類產(chǎn)品不滿意調(diào)查企業(yè)對SIEM 集成安全能力的期望隨著“Smart SIEM”理念的發(fā)展，企業(yè)對SIEM 的期望不僅僅局限于傳統(tǒng)SIEM 提供的安全事信息和事件管理能力。新一代 SIEM 解決方案更加趨向于融合多項(xiàng)安全能力，將安全需求打通，并基于用戶的選擇進(jìn)行按需擴(kuò)展，從而幫助企業(yè)更加高效統(tǒng)一地完成安全運(yùn)營工作。針對企業(yè)對SIEM 集成安全能力的期望，報(bào)告進(jìn)行了定向調(diào)研， 調(diào)研結(jié)果顯示：威

40、脅情報(bào)、端點(diǎn)安全（EDR）、漏洞管理、SOAR、UEBA、NTA 是大部分企業(yè)期望集成至SIEM 平臺(tái)的安全能力。數(shù)據(jù)來源：FreeB圖 14 企業(yè)對 SIEM 集成安全能力的期望企業(yè)對SIEM 產(chǎn)品期望改進(jìn)的能力根據(jù)調(diào)研結(jié)果，54.7%的企業(yè)認(rèn)為 SIEM 產(chǎn)品需要提升【威脅情報(bào)能力】、【用戶行為分析能力（UEBA）】、【安全編排及自動(dòng)化響應(yīng)能力】這三項(xiàng)能力。數(shù)據(jù)來源：FreeB圖 15 企業(yè)期盼改進(jìn)的能力四、SIEM/SOC 類產(chǎn)品測試情況綜述（一）測試基本情況本次SIEM/SOC 類先進(jìn)網(wǎng)絡(luò)安全能力驗(yàn)證評估工作在信通院安全所網(wǎng)絡(luò)安全實(shí)驗(yàn)室進(jìn)行，開始于 2020 年 11 月 2 日，結(jié)束

41、于 2020 年12 月 8 日。各參測企業(yè)根據(jù)測試方案分別組合自身的產(chǎn)品模塊和技術(shù)能力，完成了SIEM/SOC 能力驗(yàn)證評估。各參測企業(yè)受測的產(chǎn)品數(shù)量不同，如表 3 所示，每個(gè)參測企業(yè)產(chǎn)品數(shù)量從一臺(tái)至五臺(tái)數(shù)量不等，但普遍為兩臺(tái)至三臺(tái)，通常一臺(tái)設(shè)備作為采集探針，另外一臺(tái)設(shè)備作為安全分析和展示系統(tǒng)，對于采用兩臺(tái)以上設(shè)備的企業(yè)通常是將安全分析模塊進(jìn)行了能力拆分， 例如態(tài)勢感知模塊、威脅感知模塊、運(yùn)維審計(jì)類探針模塊以及總體分析和展示模塊幾個(gè)部分。參與測試的產(chǎn)品均采用了標(biāo)準(zhǔn) 1U 或 2U 服務(wù)器。表 3 各企業(yè)到場測試產(chǎn)品臺(tái)數(shù)企業(yè)名稱臺(tái)數(shù)任子行網(wǎng)絡(luò)技術(shù)股份有限公司5北京盛華安信息技術(shù)有限公司3網(wǎng)神信

42、息技術(shù)（北京）股份有限公司3北京安達(dá)亞科技有限公司3杭州安恒信息技術(shù)股份有限公司2上海觀安信息技術(shù)股份有限公司2新華三信息安全技術(shù)有限公司2深信服科技股份有限公司2騰訊云計(jì)算（北京）有限責(zé)任公司2廈門服云信息科技有限公司2中電福富信息科技有限公司2北京神州綠盟科技有限公司2亞信科技（成都）有限公司2北京神州泰岳軟件股份有限公司1數(shù)據(jù)來源：中國信息通信研究院（二）測試環(huán)境介紹資料來源：中國信息通信研究院圖 16 測試網(wǎng)絡(luò)拓?fù)鋱D本次測試主要采用IXIA PerfectStormONE 流量發(fā)生器（IP 地址： 11）模擬網(wǎng)絡(luò)流量、攻擊以及惡意程序等，采用 IXIA Vision E40 分流設(shè)備（

43、IP 地址：12）進(jìn)行多路模擬流量生成。如圖 16 所示測試環(huán)境網(wǎng)絡(luò)拓?fù)淝闆r，流量發(fā)生器與分流設(shè)備相連接，并配置流量策略，分流設(shè)備將模擬的測試流量同時(shí)下發(fā)多份，受測產(chǎn)品的采集口（或通過交換機(jī)轉(zhuǎn)發(fā)）與分流設(shè)備相連。管理口交換機(jī)連接所有產(chǎn)品管理口進(jìn)行統(tǒng)一管理。受測產(chǎn)品需配置 網(wǎng)段IP 作為管理IP，并接入到受測網(wǎng)絡(luò)中。為了保障整個(gè)測試過程的真實(shí)性與客觀性，管理口 IP 以及其他相關(guān)采集分析設(shè)備被分配的IP 不可以私自改變，在測試結(jié)果截圖中應(yīng)包含頁面全屏，顯示出管理IP，以明確該測試截圖內(nèi)容是通過現(xiàn)場測試得到的結(jié)果截圖。（三）測試方法說明本次測試包括產(chǎn)品功能測試、性能測試和系統(tǒng)自身安全測試。在功能測

44、試方面，由IXIA PerfectStormONE 流量發(fā)生器生成相關(guān)流量，隨后在產(chǎn)品找到采集或分析結(jié)果相應(yīng)界面，對滿足測試內(nèi)容的部分進(jìn)行截圖和說明，證明該產(chǎn)品對該測試項(xiàng)的滿足程度。對于不需要專門利用流量發(fā)生器的測試項(xiàng)，直接在產(chǎn)品界面截圖中進(jìn)行描述說明。在性能測試方面，根據(jù)產(chǎn)品型號（千兆或萬兆），由IXIA PerfectStormONE 流量發(fā)生器生成最大混合流量，受測產(chǎn)品記錄流量采集峰值以及峰值期間CPU 或內(nèi)存資源的消耗情況。在自身安全測試方面，由專業(yè)白帽子滲透測試工程師利用各類 Web 檢測工具，結(jié)合手工驗(yàn)證對設(shè)備系統(tǒng)和應(yīng)用層面進(jìn)行全面滲透測試。資料來源：中國信息通信研究院圖 17 I

45、XIA PerfectStorm ONE 流量發(fā)生器 Web 界面資料來源：中國信息通信研究院圖 18 IXIA Vision E40 分流設(shè)備（四）測試對象范圍一般情況下，SIEM/SOC 類產(chǎn)品從基礎(chǔ)架構(gòu)上主要分為采集層、分析層、展現(xiàn)層。采集層通過對網(wǎng)絡(luò)內(nèi)的流量、日志進(jìn)行基礎(chǔ)性收集并進(jìn)行標(biāo)準(zhǔn)化處理；分析層是一個(gè) SIEM/SOC 類產(chǎn)品的核心技術(shù)體現(xiàn)，它通過多系統(tǒng)之間的關(guān)聯(lián)、多數(shù)據(jù)/情報(bào)標(biāo)準(zhǔn)化之后的分析，進(jìn)而形成威脅預(yù)警信息、態(tài)勢感知信息、數(shù)據(jù)治理手段等。本次測試對象范圍主要包含安全信息和事件管理系統(tǒng)（SIEM）、SOC 安全運(yùn)營中心、NGSOC 態(tài)勢感知與安全運(yùn)營平臺(tái)、SRC 安全應(yīng)急響

46、應(yīng)中心等產(chǎn)品形態(tài)和類別。其中包含的功能模塊包含但不限于日志管理、威脅情報(bào)、漏洞掃描、態(tài)勢感知、威脅預(yù)警、安全治理等子系統(tǒng)。（五）測試內(nèi)容簡介本次測試內(nèi)容范圍覆蓋從原始網(wǎng)絡(luò)流量采集、還原，并進(jìn)行網(wǎng)絡(luò)攻擊、惡意程序、APT 等威脅識(shí)別，到安全分析和態(tài)勢感知，到安全運(yùn)營和安全治理，并對風(fēng)險(xiǎn)進(jìn)行處置和溯源等網(wǎng)絡(luò)流量全生命周期分析能力測試。如表 4 所示，測試內(nèi)容包括產(chǎn)品功能測試、產(chǎn)品性能測試和產(chǎn)品自身安全測試三個(gè)方向。其中產(chǎn)品功能測試包括網(wǎng)絡(luò)流量識(shí)別能力、安全分析能力、安全事件處置能力、安全事件溯源能力、自身管理能力、自身日志審計(jì)能力六大產(chǎn)品能力，其中網(wǎng)絡(luò)流量識(shí)別能力和安全分析能力是本次測試的重點(diǎn)方向

47、。產(chǎn)品性能測試包括網(wǎng)絡(luò)流量吞吐能力和系統(tǒng)資源使用情況測試。自身安全測試包括針對系統(tǒng)的Web 應(yīng)用安全和業(yè)務(wù)邏輯安全測試。表 4 SIEM/SOC 類產(chǎn)品測試項(xiàng)目表測試大項(xiàng)測試小項(xiàng)日志采集識(shí)別與告警能力日志的采集和標(biāo)準(zhǔn)化威脅情報(bào)的采集與安全分析能力威脅情報(bào)采集和管理能力攻擊識(shí)別能力關(guān)聯(lián)分析能力日志存儲(chǔ)與檢索能力實(shí)時(shí)監(jiān)控能力態(tài)勢感知能力攻擊態(tài)勢感知能力威脅態(tài)勢感知能力資產(chǎn)態(tài)勢感知能力運(yùn)行態(tài)勢感知能力風(fēng)險(xiǎn)態(tài)勢感知能力ATT&CK 攻擊鏈溯源能力用戶實(shí)體畫像分析能力UEBA 分析能力威脅追蹤能力網(wǎng)站態(tài)勢感知能力全網(wǎng)態(tài)勢感知能力安全運(yùn)營與應(yīng)急響應(yīng)能力安全預(yù)警能力安全告警能力聯(lián)動(dòng)處置能力工單管理功能安全編

48、排和全過程自動(dòng)化能力報(bào)表生成功能安全治理能力等級保護(hù) 2.0 合規(guī)驗(yàn)證能力安全治理分析能力自身安全網(wǎng)絡(luò)訪問控制Web 應(yīng)用&邏輯業(yè)務(wù)平臺(tái)性能最大實(shí)時(shí)吞吐CPU、內(nèi)存使用率監(jiān)測數(shù)據(jù)來源：中國信息通信研究院五、SIEM/SOC 類產(chǎn)品測試結(jié)果總體分析（一）日志采集告警與基礎(chǔ)分析支持較好通過測試結(jié)果發(fā)現(xiàn)，絕大部分受測產(chǎn)品的日志采集與告警、威脅情報(bào)采集與安全分析能力均表現(xiàn)良好。如圖 20 所示，全部受測產(chǎn)品的兩個(gè)大項(xiàng)指標(biāo)的符合率高達(dá)近 90%， 側(cè)面表明國內(nèi)大部分SIEM/SOC 類產(chǎn)品在日志與事件的收集、標(biāo)準(zhǔn)化和實(shí)時(shí)監(jiān)控告警方面的技術(shù)能力已經(jīng)相當(dāng)成熟。數(shù)據(jù)來源：中國信息通信研究院圖 19 受測產(chǎn)品主

49、要功能滿足率一方面，本次測試中主要驗(yàn)證受測產(chǎn)品對于收集各信息系統(tǒng)及網(wǎng)絡(luò)的流量、日志、運(yùn)行狀態(tài)、告警信息，包括 Syslog、SNMP、SNMP Trap、SSH、TELNET 和文件系統(tǒng)等方式接入日志類型數(shù)據(jù)；另一方面， 本次測試對于威脅情報(bào)的采集、利用、溯源和驗(yàn)證方面進(jìn)行了相關(guān)的測試，根據(jù)測試結(jié)果綜合情況來看，受測產(chǎn)品普遍在威脅情報(bào)的采集和利用方面表現(xiàn)優(yōu)異，但威脅情報(bào)的溯源和驗(yàn)證功能仍具有一定的優(yōu)化空間。數(shù)據(jù)來源：中國信息通信研究院圖 20 威脅情報(bào)能力如圖 22 所示，相對于受測產(chǎn)品的基礎(chǔ)能力外，多數(shù)產(chǎn)品也普遍存在一定的功能短板，主要在自動(dòng)編排能力和安全治理能力等方面。數(shù)據(jù)來源：中國信息通

50、信研究院圖 21 受測產(chǎn)品主要能力占比（二）自動(dòng)化編排能力有待深化現(xiàn)在的安全運(yùn)營場景中，往往需要整合大量的系統(tǒng)信息和事件， 運(yùn)維工作的復(fù)雜度大大增加，因此必然需要產(chǎn)品提供豐富的事件響應(yīng)與處理編排能力，能夠基于一系列預(yù)定義的預(yù)處理策略、關(guān)聯(lián)分析策略和合并策略自動(dòng)化對告警嚴(yán)重性和處置優(yōu)先級進(jìn)行劃分、自動(dòng)化地執(zhí)行匹配的劇本和應(yīng)用動(dòng)作，同時(shí)應(yīng)能夠?qū)ν馓峁?API 調(diào)用接口，供外部第三方應(yīng)用系統(tǒng)調(diào)用，為它們提供編排、自動(dòng)化與響應(yīng)服務(wù)。通過測試結(jié)果發(fā)現(xiàn)，大多數(shù)產(chǎn)品具備基本的告警功能，但自動(dòng)化編排響應(yīng)能力有待完善。在所有受測產(chǎn)品中，僅有三家完全支持自動(dòng)化編排相應(yīng)（SOAR），此項(xiàng)功能支持較好及以上的僅占全部

51、受測產(chǎn)品的 42%，完全不支持此項(xiàng)功能的占全部受測產(chǎn)品的 36%。數(shù)據(jù)來源：中國信息通信研究院圖 22 受測產(chǎn)品 SOAR 能力占比根據(jù)測試用例要求，受測產(chǎn)品應(yīng)具備自動(dòng)化告警分診、自動(dòng)化安全響應(yīng)、自動(dòng)化劇本執(zhí)行、自動(dòng)化案件處置以及自動(dòng)化服務(wù)調(diào)用等功能。不僅應(yīng)實(shí)現(xiàn)實(shí)時(shí)有效告警，并且告警信息在系統(tǒng)中有詳細(xì)記錄。具備供第三方應(yīng)用調(diào)用的接口的配置，并且可以與企業(yè)其他產(chǎn)品和其他企業(yè)或開源組件實(shí)現(xiàn)數(shù)據(jù)聯(lián)動(dòng)，以滿足風(fēng)險(xiǎn)通知等其他擴(kuò)展功能。就本次測試情況綜合評估，在安全編排自動(dòng)化與響應(yīng)能力方面，多數(shù)受測產(chǎn)品未體現(xiàn)出相關(guān)能力優(yōu)勢，需要在實(shí)踐中不斷完善和改進(jìn)。數(shù)據(jù)來源：中國信息通信研究院圖 23 SOAR 功能界

52、面示意圖（三）安全合規(guī)審計(jì)能力亟需加強(qiáng)本次測試在安全治理功能的測試方面，基于當(dāng)前網(wǎng)絡(luò)安全市場的運(yùn)營趨勢提出了兩點(diǎn)測試項(xiàng)：等級保護(hù) 2.0 合規(guī)審計(jì)以及安全治理數(shù)據(jù)。等級保護(hù) 2.0 合規(guī)審計(jì)。網(wǎng)絡(luò)安全等級保護(hù) 2.0 制度，是我國網(wǎng)絡(luò)空間安全領(lǐng)域的基本國策和基本制度。在等級保護(hù) 1.0 時(shí)代的基礎(chǔ)上，更加注重主動(dòng)防御，建立全流程的安全可信、動(dòng)態(tài)感知和全面審計(jì)。SIEM/SOC 類產(chǎn)品作為企業(yè)安全運(yùn)營的核心，承載著收集、分析和情報(bào)處理的關(guān)鍵功能，如果能通過等級保護(hù) 2.0 進(jìn)行賦能與合規(guī)管理，將大大提高SIEM/SOC 類產(chǎn)品應(yīng)用的深度和廣度。數(shù)據(jù)來源：中國信息通信研究院圖 24 等級保護(hù) 2.

53、0 審計(jì)功能示意圖根據(jù)測試結(jié)果，有 10 款產(chǎn)品完全不支持等級保護(hù) 2.0 的合規(guī)審計(jì)功能，占全部受測產(chǎn)品的 72%。沒有一款受測產(chǎn)品能夠完全支持本次的測試用例。但值得期待的是，其中 1 款產(chǎn)品在后續(xù)版本將加入等保審計(jì)功能，而另外部分產(chǎn)品可通過接入本次測試外的定制模塊、探針等方式進(jìn)行等保合規(guī)審計(jì)和安全信息事件地集中管理。從總體上看，本次受測產(chǎn)品在等級保護(hù) 2.0 合規(guī)審計(jì)功能上亟需加強(qiáng)。數(shù)據(jù)來源：中國信息通信研究院圖 25 等級保護(hù) 2.0 審計(jì)功能占比安全治理數(shù)據(jù)。本次測試中，增加了安全治理數(shù)據(jù)的功能檢測， 旨在展示安全治理整體數(shù)據(jù)、態(tài)勢和成效。通過受測產(chǎn)品內(nèi)置安全風(fēng)險(xiǎn)KPI 指標(biāo)，包括安全

54、狀況指標(biāo)、運(yùn)行能力指標(biāo)、安全態(tài)勢指標(biāo)以及合規(guī)指標(biāo)。查看總體安全治理情況。通過測試結(jié)果發(fā)現(xiàn)，雖距安全治理的要求還有一定距離，但多數(shù)產(chǎn)品已經(jīng)基本具備功能。大部分受測產(chǎn)品在功能上基本能夠?qū)崿F(xiàn)查看全網(wǎng)安全威脅指數(shù)、查看安全域 KPI 的態(tài)勢、不同安全域的指標(biāo)變化以及設(shè)置KPI 的標(biāo)準(zhǔn)等。數(shù)據(jù)來源：中國信息通信研究院圖 26 安全治理數(shù)據(jù)功能示意圖如圖 28 所示，具有基本支持及以上測試結(jié)果的受測產(chǎn)品占比64%，其中完全支持測試的受測產(chǎn)品有三款。數(shù)據(jù)來源：中國信息通信研究院圖 27 安全治理數(shù)據(jù)功能（四）系統(tǒng)自身安全管理功能完善通過測試結(jié)果發(fā)現(xiàn)，幾乎全部受測產(chǎn)品在自身安全配置方面， 均具備包括不限于用戶

55、標(biāo)識(shí)、數(shù)據(jù)安全、身份鑒別、安全審計(jì)等安全配置功能。用戶標(biāo)識(shí)方面，具備管理角色標(biāo)識(shí)、鑒別信息、隸屬組、權(quán)限等自定義用戶安全屬性，并具備用戶屬性初始化功能和用戶唯一性設(shè)置。數(shù)據(jù)安全方面，具備數(shù)據(jù)安全管控機(jī)制，涵蓋數(shù)據(jù)的創(chuàng)建、存儲(chǔ)、使用、共享、歸檔、銷毀數(shù)據(jù)全生命周期環(huán)節(jié)，涉及通過網(wǎng)絡(luò)協(xié)議、接口、維護(hù)終端等多種途徑進(jìn)行數(shù)據(jù)訪問、傳輸， 保證在這些途徑上的數(shù)據(jù)保密性、安全性和完整性。身份鑒別方面， 具備提供授權(quán)管理員鑒別數(shù)據(jù)的初始化、鑒別失敗處理、鑒別授權(quán)保護(hù)等功能。安全審計(jì)方面，具備對不同的安全行為進(jìn)行審計(jì)記錄的生成，并能夠限制審計(jì)記錄的訪問。數(shù)據(jù)來源：中國信息通信研究院圖 28 自身安全管理配置功

56、能示意圖數(shù)據(jù)來源：中國信息通信研究院圖 29 自身安全管理配置功能示意圖如圖 31 所示，絕大部分產(chǎn)品具有完善的自身安全管理能力。其中 86%受測產(chǎn)品具備完善的自身管理能力，滿足測試功能要求，14% 受測產(chǎn)品在本次測試用例中存在微弱的差距。數(shù)據(jù)來源：中國信息通信研究院圖 30 產(chǎn)品自身安全管理功能結(jié)果比例圖（五）Web 和業(yè)務(wù)安全漏洞均有存在通過測試結(jié)果發(fā)現(xiàn)，全部受測產(chǎn)品均存在應(yīng)用安全漏洞。本次測試過程中，通過系統(tǒng)漏洞測試、應(yīng)用安全測試、口令破解、數(shù)據(jù)包分析等不同工具和方法，對受測產(chǎn)品的Web 應(yīng)用和業(yè)務(wù)安全進(jìn)行了測試，測試內(nèi)容包括不限于對Web 應(yīng)用進(jìn)行安全掃描監(jiān)控，查看Web 應(yīng)用是否存在

57、安全漏洞、利用業(yè)界知名安全掃描工具/開源掃描工具掃描和人工滲透測試嘗試發(fā)現(xiàn)Web 應(yīng)用是否存在的安全風(fēng)險(xiǎn)、對系統(tǒng)業(yè)務(wù)邏輯進(jìn)行分析和測試，查看業(yè)務(wù)邏輯是否存在漏洞（越權(quán)、數(shù)據(jù)泄漏等）。在本次全部受測產(chǎn)品中，均存在Web 和業(yè)務(wù)安全漏洞。所有產(chǎn)品的高危漏洞占總漏洞數(shù)的 33%，中危漏洞占 55%， 低危漏洞占 12%。其中，有 8 款產(chǎn)品均存在不同危害程度的高危漏洞。如圖 32 所示各產(chǎn)品漏洞數(shù)量。數(shù)據(jù)來源：中國信息通信研究院圖 31 受測產(chǎn)品應(yīng)用安全漏洞情況六、SIEM/SOC 類產(chǎn)品威脅識(shí)別能力分析（一）各類網(wǎng)絡(luò)攻擊發(fā)現(xiàn)和分析的能力在本測試中，利用流量發(fā)生器構(gòu)造了近 5000 條漏洞利用攻擊，

58、 包括但不限于遠(yuǎn)程代碼執(zhí)行、破殼漏洞利用、SQL 注入、HTTP PUT 方法任意寫文件、暴力破解、端口掃描、非法權(quán)限獲取、挖礦、木馬后門通信、中間件漏洞等，用于驗(yàn)證受測產(chǎn)品的網(wǎng)絡(luò)攻擊識(shí)別和分析能力。數(shù)據(jù)來源：中國信息通信研究院圖 32 網(wǎng)絡(luò)攻擊識(shí)別能力示意圖 1通過測試結(jié)果發(fā)現(xiàn)，絕大部分受測產(chǎn)品可實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊的基本識(shí)別，需加強(qiáng)機(jī)器學(xué)習(xí)、數(shù)據(jù)圖譜等高級關(guān)聯(lián)分析和溯源展示能力。在網(wǎng)絡(luò)攻擊識(shí)別方面，多數(shù)受測產(chǎn)品能識(shí)別出 Web 應(yīng)用攻擊、弱口令、暴力破解、掃描與爬蟲、數(shù)據(jù)庫攻擊、敏感信息泄露、惡意通信流量、內(nèi)網(wǎng)滲透、通用應(yīng)用漏洞攻擊、惡意軟件、后門識(shí)別、異常協(xié)議等攻擊行為。數(shù)據(jù)來源：中國信息通信

59、研究院圖 33 網(wǎng)絡(luò)攻擊識(shí)別能力示意圖 2（二）多步驟攻擊發(fā)現(xiàn)和關(guān)聯(lián)分析的能力通過測試結(jié)果發(fā)現(xiàn)，絕大部分產(chǎn)品可以實(shí)現(xiàn)分析流量中的多步驟攻擊鏈條，包括基于攻擊鏈模型的分析、攻擊源追溯等功能。但是在風(fēng)險(xiǎn)告警與攻擊鏈構(gòu)成防御策略方面仍需不斷完善。隨著各企業(yè)在國家 APT 網(wǎng)絡(luò)攻擊對抗領(lǐng)域的不斷深入研究與實(shí)踐，應(yīng)持續(xù)完善產(chǎn)品能力，以在網(wǎng)絡(luò)安全防御與應(yīng)急響應(yīng)工作中起到實(shí)際效果。數(shù)據(jù)來源：中國信息通信研究院圖 34 攻擊鏈識(shí)別功能示意圖 HYPERLINK l _bookmark75 7ATT&CK28F 技術(shù)落地仍需完善。在本測試用例中，利用流量發(fā)生器構(gòu)造具有完整攻擊鏈的APT 攻擊，查看受測產(chǎn)品是否具

60、備提供攻擊鏈模型的安全事件監(jiān)測的方法，是否能夠直觀呈現(xiàn)攻擊者的抽象行為并提供攻擊路徑追溯等功能。如圖 36 所示，雖然絕大部門受測產(chǎn)品都可以識(shí)別出多步攻擊鏈條，但是其中仍有 3 款產(chǎn)品不支持通過以ATT&CK 為例的全過程告警功能，占全部測試產(chǎn)品的 22%。數(shù)據(jù)來源：中國信息通信研究院圖 35 受測產(chǎn)品 ATT&CK 測試結(jié)果7 ATTRCK&CK：Adversarial Tactics, Techniques, and Common Knowledge 縮寫。它是一個(gè)站在攻擊者的視角來描述攻擊中各階段用到的技術(shù)的模型。該模型由 MITRE 公司提出，這個(gè)公司一直以來都在為美國軍方做威脅建模，