在選擇新的SIP(安全感知管理平臺)提供商時,應優(yōu)先考慮以下功能以滿足組織的需求:
一、安全檢測與分析能力
高級威脅檢測:
考察SIP是否具備以UEBA和AI為核心、結(jié)合多方安全產(chǎn)品日志進行上下文關(guān)聯(lián)分析的檢測算法技術(shù),以精準有效檢出高級威脅及現(xiàn)有安全工具無法檢測的網(wǎng)絡(luò)異常行為。
風險資產(chǎn)分析:
SIP應能識別和管理組織的資產(chǎn),包括主機MAC地址、動態(tài)IP等信息,并根據(jù)資產(chǎn)的生命周期對資產(chǎn)進行高效管理。
入侵檢測與威脅情報檢測:
SIP需具備對通用組件、黑客工具、口令爆破等各種攻擊行為進行有效檢測并告警的能力。
安全配置檢查:
類似于深信服CWPP的功能,SIP應對服務(wù)器上的各項安全配置進行嚴格的基線檢查,以確保系統(tǒng)的安全性。
二、資產(chǎn)管理功能
全面的資產(chǎn)識別:
SIP應能識別Web、Mail、FTP、DNS、DHCP、RDP、LDAP等常規(guī)協(xié)議及SSL協(xié)議,并對數(shù)據(jù)進行解析和日志記錄。
資產(chǎn)狀態(tài)監(jiān)控:
SIP應能實時獲取主機的端口、進程、組件、賬號等信息,方便運維人員及時查看資產(chǎn)狀態(tài)。
三、告警與響應能力
多種告警方式:
SIP應提供多種告警方式,如短信、郵件、系統(tǒng)消息等,確保運維人員能及時接收到告警信息。
告警分級與秒級推送:
根據(jù)危害程度不同,SIP應將告警分為不同的等級,并實現(xiàn)秒級推送,確保重要告警不被遺漏。
綜合報表展示:
SIP應提供綜合報表,實時展示風險事件的處理進展和情況,方便運維人員進行跟蹤和管理。
四、可視化與智能化運維
可視化大屏展示:
SIP應支持可視化大屏展示,通過數(shù)字孿生等技術(shù)手段,直觀、準確、細致地進行數(shù)據(jù)呈現(xiàn)。
智能3D建模:
類似于信銳IPSIP的功能,SIP應支持智能3D建模,方便運維人員還原真實的機房環(huán)境,提高運維效率。
自動化與智能化運維:
SIP應支持與其他安全檢測產(chǎn)品的對接,實現(xiàn)端網(wǎng)聯(lián)動,提高運維的自動化和智能化水平。
五、兼容性與擴展性
跨平臺支持:
SIP應支持多種操作系統(tǒng)和平臺,如Linux和Windows等,以滿足不同環(huán)境的需求。
模塊化設(shè)計:
SIP應采用模塊化設(shè)計,方便組織根據(jù)實際需求進行功能擴展和定制。
API接口與集成能力:
SIP應提供豐富的API接口,方便與其他系統(tǒng)進行集成和聯(lián)動。
綜上所述,在選擇新的SIP提供商時,組織應綜合考慮安全檢測與分析能力、資產(chǎn)管理功能、告警與響應能力、可視化與智能化運維以及兼容性與擴展性等方面的需求。通過全面評估這些功能點,組織可以選擇出最適合自身需求的SIP提供商。