1萨(⊙o⊙)啊！8国内网络安全信息与事件管理类产品研究与测试报告（2021年）——先进网络安全能力验证评估系列报告中国信息通信研究院安全研究所上海斗象科技有限公司2021年3月 版权声明本报告版权属于中国信息通信研究院及上海斗象科技有限公司咨询，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：中国信息通信研究院及上海斗象科技有限公司”。违反上述声明者，本院将追究其相关法律责任。 pOoRsMtNsQxPsNwOtRpPsR8O9R8OsQrRoMrQlOoOmPkPoMnQ8OrQqMxNsPqRNZoPpQ前言安全运营是企业对于网络安全工作的有效管理和高效输出。随着企业规模变大、面临的威胁环境更为复杂，如何通过有限的人员对数量庞大的安全事件进行管理与快速响应，如何更精确的度量当前的关键安全指标，如何将安全工作与业务有效结合更好地赋能业务，这是安全运营不断发展、优化的意义所在。随着业界对安全运营活动的认知逐渐改变，用户行为分析、安全编排自动化与响应、威胁情报等等，都被列入安全运营的核心需求。总体来看，安全运营的发展过程是一个技术不断融合、内涵不断丰富的过程，当下以及未来一段时期内的安全运营将会是以SIEM1/SOCF2为核心，结合大数据分析、机器学习、人工智能技术，融合更多运营功能，形成新一代安全运营服务。如果将安全产品与技术作为企业安全工作的输入，那么良好的安全事件运营则是企业安全能力的稳定输出。而现在，日益复杂的安全事件与落后的安全运营能力成为了现阶段安全建设中的主要矛盾。安全建设的输入和输出处于非常不对等的情况。对企业而言，安全管理及运营涉及方方面面，不仅仅从单点去考虑，还需要从企业整体安全运维的角度，根据不同的安全侧重点，体系化分类管理安全事件，做到事件管理标准化、关联信息详实化、人员/工具定位精准化，这样才可以做到高效安全响应。1SIEM：Security InformationAnd Event Management，指安全信息和事件管理。2SOC：SecurityOperationsCenter，指安全运营中心。 为了更好地满足基础电信和互联网、金融、能源和医疗等行业用户 在5G网络、云计算、物联网等新型业务场景下的实际需要，为其在网络安全产品能力选型中提供技术参考，中国信息通信研究院（以下简称“中国信通院”）安全研究所联合 FreeBuf 咨询共同完成了此次 SIEM/SOC 类产品调研和测试工作。本次测试主要是针对当前行业内主流企业的产品进行技术能力测试，测试内容和角度覆盖全面且广泛，测试内容包括产品功能、性能以及自身安全测试，覆盖数十种技术能力指标测试项。本次测试是对各企业的SIEM/SOC类产品的“能力拔高测试”，以体现该产品在某一个技术能力领域的硬核实力。测试方案内容不仅基于现有相关标准，并且依据Gartner 对SIEM/SOC的能力定义以及综合国内各安全企业最佳实践。到报名截止日期2020 年1 0月23日为止，共有20 款产品报名，符合测试要求的 14 款产品参与此次验证评估。本报告由中国信通院安全研究所对国内主流SIEM/SOC类产品进行基本面测试评估，并输出整体测试、分析结果与整体报告。由FreeBuf 咨询通过现场走访、资料整合及问卷调查的形式，对国内外近百家企业的使用情况进行对比分析，并深入总结国内 SIEM/SOC类产品的基本现状，并尝试对其发展趋势进行评估和预测，为企业安全建设提供有效参考，提升安全运营与响应能力。在这里要特别感谢以下企业参与测试并为测试工作提供相关支持（排名不分先后）：北京神州绿盟科技有限公司、杭州安恒信息技术股份有限公司、 北京安达亚科技有限公司、新华三信息安全技术有限公司、中电福富信息科技有限公司、任子行网络技术股份有限公司、北京神州泰岳信息安全技术有限公司、网神信息技术（北京）股份有限公司、厦门服云信息科技有限公司、北京盛华安信息技术有限公司、亚信科技（成都）有限公司、上海观安信息技术股份有限公司、腾讯云计算（北京）有限责任公司、深信服科技股份有限公司。 目录一、安全运营的演变与发展.................................................................................1（一）安全运营的定义.................................................................................1（二）安全运营的发展.................................................................................2（三）安全运营的技术实践.........................................................................3二、安全信息实践管理技术发展现状.................................................................5（一）技术早期发展.....................................................................................5（二）基础核心能力.....................................................................................6三、国内SIEM/SOC类产品应用现状...................................................................9（一）国内企业安全运营态势画像...........................................................91.安全检测类产品部署现状..................................................................92.安全警报数量现状............................................................................103.企业安全运营&威胁发现能力现状..................................................12（二）国内安全信息和事件管理类产品应用现状.................................151.安全信息和事件管理类产品国内部署现状....................................152.安全信息和事件管理类产品使用效果评价....................................173.企业对SIEM集成安全能力的期望..................................................194.企业对SIEM产品期望改进的能力..................................................20四、SIEM/SOC类产品测试情况综述..................................................................22（一）测试基本情况...................................................................................22（二）测试环境介绍...................................................................................23（三）测试方法说明...................................................................................24（四）测试对象范围...................................................................................25（五）测试内容简介...................................................................................26五、SIEM/SOC 类产品测试结果总体分析..........................................................28（一）日志采集告警与基础分析支持较好...............................................29（二）自动化编排能力有待深化...............................................................31（三）安全合规审计能力亟需加强...........................................................33（四）系统自身安全管理功能完善...........................................................36 （五）Web 和业务安全漏洞均有存在........................................................38六、SIEM/SOC 类产品威胁识别能力分析..........................................................40（一）各类网络攻击发现和分析的能力...................................................40（二）多步骤攻击发现和关联分析的能力...............................................41七、SIEM/SOC类产品态势感知能力分析..........................................................43（一）攻击和威胁态势感知能力分析.......................................................43（二）资产和运行态势感知能力分析.......................................................45（三）用户实体画像和UEBA能力分析.....................................................46八、SIEM/SOC类产品趋势展望..........................................................................48（一）“智能SIEM”将引领新一代SIEM能力发展................................491.智能化：AI+自动化驱动..................................................................502.主动化：威胁感知与主动防御........................................................533.集成化：多元安全能力高效联动....................................................554.MITREATT&CK框架助推安全运营能力提升.......