安全态势感知管理平台SIP/探针STA

深信服安全感知平台(简称SIP)是一款面向全行业的大数据安全分析平台,旨在为用户构建一套集检测、可视、响应于一体的本地安全大脑,让安全可感知、易运营,更有价值。
点击可切换产品版本
知道了
不再提醒
SIP3.0.65
{{sendMatomoQuery("安全态势感知管理平台SIP/探针STA","周运维")}}

周运维

更新时间:2022-07-29
运维项 运维任务说明
系统健康检查 对平台进行系统检测操作,并对告警项进行处置。
规则库更新检查 对SIP及STA规则库、安全分析引擎、SIEM日志范式化引擎等库版本进行检查,确保已为最新版本,对升级异常情况进行处置
系统数据备份检查 检查数据备份策略是否正常,如最近备份时间与策略状态等。
威胁处置 高危攻击处置:针对外部的高危性攻击威胁进行及时处理。
成功的事中攻击处置:针对成功的事中攻击事件进行分析和处理。
外部风险访问处置:可以检查外部风险整体情况,对风险进行分析以及及时处置。
违规访问处置:可以检查内部违规访问策略黑名单、白名单或控制策略等行为,进行具体分析和及时处理。
可疑行为处置:可以检查主机对内部其他主机发起的如网站扫描等可疑行为,进行具体的分析和及时处理。
风险访问处置:可以检查风险访问的整体情况,并对事件进行分析和及时处理。
外联威胁处置 对外攻击处置:可以检测内网主机对外网发起的攻击,并对改主机进行分析和及时处理。
APT C&C异常连接:可以检测威胁的整体情况,并进行具体分析与应对处置,避免造成重要信息的泄漏。
异常访问处置 横向访问处置:检测服务器流量排行及最活跃的源主机分析,进行日志分析和应对处置。
外连访问处置:检查外联访问关系,分析日志详情和及时处理异常事件。
外对内异常流量分析:检查对外网开放的业务流量情况,并对异常流量进行分析和及时处理。
可疑DNS分析:检查对内网主机访问各类域名的情况,并对访问高风险域名进行及时的处理。
访问控制核查:检查指定IP组之间的访问关系以及控制策略是否生效。
SIEM分析系统 针对SIEM分析系统识别到的致命与高危日志进行及时关注与处理。
EBA用户行为分析 针对EBA分析识别到的异常用户行为进行及时关注与处理。
周报查阅 负责人对周报内容进行查阅,并对其中的重点异常项进行及时处置。
资产风险处置 退库资产:识别退库资产是否已经从网络中清除。DHCP的资产除外。