安全檢測(cè)與響應(yīng)管理平臺(tái)需求說(shuō)明

安全檢測(cè)與響應(yīng)管理平臺(tái)需求說(shuō)明序號(hào)貨物名稱技術(shù)要求1安全檢測(cè)與響應(yīng)管理平臺(tái)（XDR）1、純軟件，支持集群部署，可實(shí)現(xiàn)橫向擴(kuò)展彈性擴(kuò)展，至少包含3個(gè)節(jié)點(diǎn)，虛擬機(jī)方式部署；虛擬機(jī)資源由采購(gòu)方自備，至少提供3臺(tái)虛擬機(jī)，每臺(tái)虛擬機(jī)配置：CPU≥40核，內(nèi)存≥128G，系統(tǒng)盤(pán)≥240G,數(shù)據(jù)盤(pán)≥40T：2、平臺(tái)基于ClickHouse、Flink、pulsar、MongoDB、分布式存儲(chǔ)的框架架構(gòu)，可提供具備彈性擴(kuò)展能力和數(shù)據(jù)高可靠的基礎(chǔ)平臺(tái)。3、配套提供第三方日志分析模塊、SOAR自動(dòng)編排模塊、云端威脅情報(bào)模塊、安全事件深度挖掘模塊、移動(dòng)運(yùn)營(yíng)小助手；要求：1）支持接入第三方品牌的網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行呈現(xiàn)、并匯入分析模塊進(jìn)行安全事件的分析和調(diào)查。2）提供可視化拖拽方式靈活自定義編排威脅的響應(yīng)處置，實(shí)現(xiàn)半自動(dòng)化、自動(dòng)化聯(lián)動(dòng)安全設(shè)備進(jìn)行分析研判、響應(yīng)處置，內(nèi)置“半自動(dòng)化通用攻擊事件處置閉環(huán)劇本”及眾多場(chǎng)景劇本樣例，也可自定義編寫(xiě)成客制化劇本，滿足不同環(huán)境分析、決策、響應(yīng)動(dòng)作。3）提供未知文件/DNS/URL/IP等云端實(shí)時(shí)查詢，可實(shí)時(shí)展示本地IOC在內(nèi)部網(wǎng)絡(luò)和全行業(yè)社區(qū)的出現(xiàn)情況，支持云端專家實(shí)時(shí)分析互聯(lián)網(wǎng)熱門(mén)威脅事件、漏洞等，分析事件對(duì)于組織的影響程度和修復(fù)建議。4）支持海量灰度規(guī)則+多引擎分析，可基于云端數(shù)據(jù)湖，對(duì)海量線索和數(shù)據(jù)進(jìn)行灰度規(guī)則和私有引擎二次分析，狩獵師研判后生成報(bào)告；可基于狩獵分析師的經(jīng)驗(yàn)固化成檢測(cè)模型，對(duì)于未知不確信的告警進(jìn)行深度調(diào)查關(guān)聯(lián)，自動(dòng)化生成安全事件并推送；支持針對(duì)XDR平臺(tái)產(chǎn)生的安全事件，云端專家介入做研判，進(jìn)一步保障事件檢出的準(zhǔn)確性。5）支持安全事件推送，對(duì)平臺(tái)產(chǎn)生的安全事件（非告警）、云端狩獵挖掘的事件、最新發(fā)生的新型威脅影響評(píng)估報(bào)告等事件，可以推送到服務(wù)號(hào)，隨時(shí)掌控安全態(tài)勢(shì)；支持移動(dòng)處置運(yùn)維，平臺(tái)移動(dòng)運(yùn)維小程序可以實(shí)時(shí)展示安全事件的詳情信息，并且聯(lián)動(dòng)網(wǎng)絡(luò)/端點(diǎn)設(shè)備一鍵處置威脅；提供移動(dòng)專家直連咨詢，遇到不好理解、不易分析、難以處置的安全事件，可以立即聯(lián)系專家協(xié)助處理。4、提供基礎(chǔ)的網(wǎng)端、終端側(cè)的檢測(cè)數(shù)據(jù)接入和處理,實(shí)現(xiàn)對(duì)告警日志、遙測(cè)數(shù)據(jù)、審計(jì)信息的存儲(chǔ)和檢索。對(duì)跨安全產(chǎn)品的檢測(cè)和響應(yīng)機(jī)制提供基礎(chǔ)的信息匯聚、存儲(chǔ)、關(guān)聯(lián)和分析能力,包含管理平臺(tái)、檢測(cè)響應(yīng)分析引擎、數(shù)據(jù)湖模塊、儀表盤(pán)、安全事件檢索與調(diào)查、報(bào)表、基礎(chǔ)大屏等功能。5、支持以標(biāo)準(zhǔn)Syslog、Kafka、SNMPTrap、JDBC、FTP、SFTP、Winlogbeat/Filebeat接收安全設(shè)備、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)、中間件、服務(wù)等各類第三方設(shè)備日志并存儲(chǔ)，如防火墻、上網(wǎng)行為審計(jì)、應(yīng)用交互、態(tài)勢(shì)感知、掃描器、抗DDoS、DLP、UTM、IPS、IDS、WAF、漏掃等。6、支持對(duì)事件執(zhí)行劇本和動(dòng)作；支持展示當(dāng)前已編排的劇本，同時(shí)可在該頁(yè)面新建劇本；內(nèi)置節(jié)點(diǎn)庫(kù)，支持自動(dòng)化執(zhí)行節(jié)點(diǎn)、過(guò)濾型節(jié)點(diǎn)、人工介入和標(biāo)記型節(jié)點(diǎn)，具備支持動(dòng)作、過(guò)濾、決策、文本、審批、錄入等，支持圖形拖拽連線形成完整事件處置流程劇本；支持通過(guò)類似Visio的拖拽方式靈活自定義編排威脅的響應(yīng)處置流程，并支持多種執(zhí)行節(jié)點(diǎn)包括：動(dòng)作調(diào)度、劇本應(yīng)用、決策器、過(guò)濾器、人工審批、人工錄入等必要的關(guān)鍵節(jié)點(diǎn)；支持自定義觸發(fā)能力（自動(dòng)和手動(dòng)），可以基于安全告警、脆弱性的執(zhí)行條件進(jìn)行觸發(fā)；支持配置通知策略，同時(shí)可以基于不同的通知場(chǎng)景自定義不同的通知方式及通知模板；支持通過(guò)標(biāo)簽對(duì)聯(lián)動(dòng)設(shè)備進(jìn)行管理，可以在配置劇本和執(zhí)行動(dòng)作時(shí)，通過(guò)選擇標(biāo)簽，快速對(duì)具有相同使用場(chǎng)景的設(shè)備進(jìn)行指令下發(fā)；可展示當(dāng)前XDR中已對(duì)接的應(yīng)用，支持網(wǎng)絡(luò)安全設(shè)備的聯(lián)動(dòng)，包括防火墻、EDR、即時(shí)通訊、威脅情報(bào)等進(jìn)行聯(lián)動(dòng)，實(shí)現(xiàn)對(duì)威脅的快速響應(yīng)與處置；支持待我審批功能，可顯示當(dāng)前用戶所有待審批劇本節(jié)點(diǎn)；支持從安全事件、安全告警、脆弱性頁(yè)面查看其關(guān)聯(lián)的劇本執(zhí)行詳情。7、支持一鍵遏制功能，可聯(lián)動(dòng)對(duì)應(yīng)端側(cè)組件（如EDR）和網(wǎng)側(cè)組件（如防火墻）端網(wǎng)能力針對(duì)IP、主機(jī)等各類實(shí)體進(jìn)行一鍵處置，同時(shí)針對(duì)于IP可支持展示具體IP地址、風(fēng)險(xiǎn)標(biāo)簽與網(wǎng)絡(luò)類型等，針對(duì)主機(jī)可展示資產(chǎn)名稱與責(zé)任人。8、支持資產(chǎn)清點(diǎn)，可通過(guò)開(kāi)放端口、應(yīng)用軟件、數(shù)據(jù)庫(kù)、web服務(wù)、web框架、web應(yīng)用、web站點(diǎn)、賬號(hào)信息、運(yùn)行進(jìn)程、運(yùn)行服務(wù)、啟動(dòng)項(xiàng)、計(jì)劃任務(wù)、注冊(cè)表維度進(jìn)行資產(chǎn)清點(diǎn)。清點(diǎn)可展示相關(guān)資產(chǎn)列表，包含IP地址、資產(chǎn)責(zé)任人、數(shù)據(jù)源、互聯(lián)網(wǎng)暴露情況、關(guān)鍵進(jìn)程等維度。9、支持智能對(duì)抗，要求：1）可智能響應(yīng)安全事件和安全告警中的關(guān)鍵威脅，針對(duì)于高置信度的重復(fù)或低危威脅實(shí)體可實(shí)現(xiàn)全自動(dòng)化遏制閉環(huán)，可支持頁(yè)面展示事件自動(dòng)遏制率，可查看智能對(duì)抗記錄及自定義對(duì)抗規(guī)則；2）支持業(yè)務(wù)優(yōu)先和安全優(yōu)先的模式切換，可匹配日常運(yùn)營(yíng)場(chǎng)景和攻防場(chǎng)景，同時(shí)針對(duì)于模擬試用場(chǎng)景，支持選擇監(jiān)測(cè)模式；3）支持針對(duì)網(wǎng)絡(luò)設(shè)備、端側(cè)設(shè)備進(jìn)行聯(lián)動(dòng)配置以及針對(duì)新接入設(shè)備自動(dòng)添加到智能響應(yīng)，同時(shí)還支持設(shè)置IP封堵范圍和自定義智能響應(yīng)生效時(shí)段；4）支持基于時(shí)間、實(shí)體類型、處置狀態(tài)和實(shí)體描述來(lái)篩選智能響應(yīng)記錄，并支持針對(duì)IP、域名、文件等不同實(shí)體類型設(shè)置響應(yīng)黑白名單；10、支持威脅實(shí)體自動(dòng)提取，要求：1）安全事件響應(yīng)處置支持對(duì)遏制威脅的實(shí)體對(duì)象自動(dòng)提取，包括自動(dòng)化提取安全事件中需要響應(yīng)處置的“IP、域名、主機(jī)、進(jìn)程、文件”五類實(shí)體，查看實(shí)體詳情列表；2）針對(duì)IP實(shí)體支持導(dǎo)出、復(fù)制IP、封禁地址、再次封禁、解除封禁、查看情報(bào)等操作，針對(duì)主機(jī)實(shí)體支持隔離主機(jī)、導(dǎo)出等操作，針對(duì)文件實(shí)體支持處置文件、導(dǎo)出、查看請(qǐng)報(bào)等操作，針對(duì)進(jìn)程實(shí)體支持阻斷進(jìn)程、導(dǎo)出、查看請(qǐng)報(bào)等操作，針對(duì)域名實(shí)體支持處置和復(fù)制域名、導(dǎo)出、再次處置、解除處置、查看請(qǐng)報(bào)等操作。11、支持攻擊指標(biāo)檢測(cè)，對(duì)攻擊者的攻擊手法進(jìn)行檢測(cè)，指標(biāo)覆蓋ATT&CK所有階段攻擊手法，以檢測(cè)攻擊準(zhǔn)確性為目標(biāo)，通過(guò)采集的網(wǎng)端數(shù)據(jù)進(jìn)行研判、挖掘?？梢园l(fā)現(xiàn)高級(jí)威脅。支持自定義IOA規(guī)則。支持終端遙測(cè)源對(duì)ATT&CK框架中各種攻擊類型的檢測(cè)技術(shù)覆蓋面Windows系統(tǒng)不低于320項(xiàng)，Linux系統(tǒng)不低于125項(xiàng)。12、提供輔助運(yùn)營(yíng)功能，要求至少提供8項(xiàng)能力：1）資產(chǎn)查詢與統(tǒng)計(jì)；2）HTTP告警數(shù)據(jù)包解讀、威脅情報(bào)解讀、惡意文件解讀；3）漏洞預(yù)警、排查與閉環(huán)；4）安全告警統(tǒng)計(jì)篩選、研判；5）安全事件的解讀與查詢；6）攻擊IP調(diào)查；7）安全趨勢(shì)總結(jié)；8）安全百科知識(shí)解讀。2服務(wù)器安全探針1、包含1個(gè)控制中心平臺(tái)+300個(gè)服務(wù)器探針授權(quán)；管理平臺(tái)至少包含終端資產(chǎn)管理清點(diǎn)、終端基線檢測(cè)、高級(jí)威脅行為檢測(cè)、攻擊可視化展示、威脅狩獵、級(jí)聯(lián)管理、行為日志采集、安全日志采集等功能；要求必須能夠與本次招標(biāo)的安全檢測(cè)與響應(yīng)管理平臺(tái)（XDR）無(wú)縫兼容，作為安全檢測(cè)與響應(yīng)管理平臺(tái)（XDR）的安全探針，實(shí)施網(wǎng)絡(luò)安全檢測(cè)、響應(yīng)、聯(lián)動(dòng)。2、支持全網(wǎng)視角的終端資產(chǎn)統(tǒng)一清點(diǎn)，便于幫助用戶快速發(fā)現(xiàn)風(fēng)險(xiǎn)面。清點(diǎn)信息包括操作系統(tǒng)、應(yīng)用軟件、監(jiān)聽(tīng)端口和終端賬戶，其中操作系統(tǒng)和監(jiān)聽(tīng)端口支持從資產(chǎn)和終端兩個(gè)視角進(jìn)行統(tǒng)計(jì)和展示。3、支持對(duì)系統(tǒng)賬號(hào)信息進(jìn)行梳理，了解賬號(hào)權(quán)限分布概況以及風(fēng)險(xiǎn)賬號(hào)分布情況，可按照隱藏賬號(hào)、弱密碼賬號(hào)、可疑root權(quán)限賬號(hào)、長(zhǎng)期未使用賬號(hào)、夜間登錄、多IP登錄進(jìn)行賬號(hào)分類查看，支持統(tǒng)計(jì)最近一年未修改密碼的賬戶。4、支持一鍵云鑒定服務(wù)，提供云端專家+沙箱+多引擎鑒定能力，結(jié)合云端威脅情報(bào)對(duì)已告警的威脅文件再次進(jìn)行綜合研判并給出100%黑白結(jié)果，用戶可自助對(duì)管理平臺(tái)告警的威脅快速判斷是否誤報(bào)和了解威脅詳情。5、支持全網(wǎng)威脅狩獵，可基于威脅情報(bào)的病毒文件哈希值、行為、域名、網(wǎng)絡(luò)連接等各項(xiàng)終端系統(tǒng)層、應(yīng)用層行為數(shù)據(jù)在全網(wǎng)終端發(fā)起搜索，挖掘潛伏攻擊，快速定位出全網(wǎng)終端感染該威脅的情況。6、可與安全檢測(cè)與響應(yīng)管理平臺(tái)（XDR）聯(lián)動(dòng)，支持從海量告警中通過(guò)引擎和專家提出去真正需