内网安全监控和预警平台架构设想（OSSIM）

内网安全监控和预警平台架构设想

---

---

需求简介

---

内网安全监控和预警平台是内网安全建设的物质基础，是所有甲方安全建设的必备武器库，无论是应急响应和追踪溯源，还是预知告警、自我清查；做下来总的体会是几个问题永远挥之不去，阴魂不散：

• 资产不清（尤其是资产对应的负责人员和业务特点不明确）
• 监控不全（对流量覆盖度不够，日志配置和收集不够，应急响应和追踪溯源的时候查不到、查不清、查一半等问题突出）
• 探测不到（这里主要指主动探测发现漏洞和风险的能力较差、规则和情报的积累和使用问题）
  而且就在这种情况下，依然使得内网安全运营的的数据量达到人工难以分析的程度，因此对整体OSSIM体系建立就是十分必要的。

能力体系

---

想做到这些需要具备一些能力基础，如下图：

最顶层是自己的业务需求，中间的大数据分析能力是开发的系统的能力、安全基础能力是自身安全团队的知识经验能力以及购买的技术能力（规则库、病毒库、威胁情报、自动处置响应能力等）
最下层的是最基本的建设需求，流量的全覆盖、日志的全收集、蜜网蜜罐、监控点、扫描点、堡垒机、IDS、审计设备等。

架构体系

---

资产收集

NIDS

HIDS

漏洞监控

总体架构体系

需要的能力值

---

• NIDS：完整的记录五元组、可以分析应用层payload，完整还原流量（协议解析）、保存流量；
• HIDS：进程、服务、注册表、命令记录、关键文件的创建与改动时间，主机网络流量情况等；
• 日志能力：shell-log、access-log、app-log、login-log，sec-log，db-log、恶意程序、文件、下载运行日志等；