安全运营中心SOC网络安全指标与事件表

一级控制域二级控制项三级控制项详细指标账号提权次数修改系统安全配置次数停用审计日志次数高风险操作次数重要文件删除次数大量文件删除操作数大规模文件修改数A类系统备份成功率B类系统备份成功率C类系统备份成功率防病毒系统正常运行率病毒库更新率定期扫描完成率病毒处理成功率未成功处理病毒次数病毒传播数量主机被病毒大规模感染主机被特定病毒大规模感染主机被病毒交叉感染主机重复感染同一病毒局域网中病毒大规模爆发病毒事件触发总数事件关闭率多人复用账号次数账户创建异常次数密码更改频繁次数VPN用户登录异常次数异常登陆登出账号数账号异常备份成功率防病毒系统运行状态恶意软件自动处理状态病毒感染情况事件处理状态操作安全访问控制操作行为管理（WSUS、Websense）备份管理（Commvalt）恶意软件防护（McAfee）账号管理（AnyOffice、Checkpoint）重要应用系统操作文件服务器操作疑似绕过认证访问经销商门户账号遭疑似暴力破解次数账号遭疑似暴力破解后成功登陆次数内部员工发邮件给竞争对手次数内部员工将核心商密发邮件给第三方（合作伙伴邮箱除外）次数重要数据发邮件到私人邮箱次数通过FTP、P2P、QQ等协议传输重要数据到外网次数将文件存储到外部网盘或公众论坛次数光盘刻录重要数据次数重要数据拷贝到U盘次数打印重要数据信息资产次数重要数据打印量异常次数高风险补丁部署成功率超过2个月中高风险补丁部署成功率3个月重复部署失败补丁数3个月重复部署失败主机数总体补丁部署成功率内网探测扫描异常DNS请求存在多个DHCP服务非技术部门高风险操作非授权网络接入内部发起DOS攻击事件触发总数事件关闭率使用非法代理服务器非人为互联网访问请求可执行文件下载行为管理阻止网页访问访问有安全隐患的网站Windows补丁管理内部网络安全事件处理状态互联网访问异常访问行为数据外发数据拷贝到移动介质数据打印访问控制资产管理通信安全访问行为管理（AD域）重要数据高风险操作（NetApp）补丁管理（WSUS）网络安全(Paloalto、Checkpoint)僵尸主机通信邮件服务器遭受邮件炸次数弹邮件服务器拦截邮件次数异常垃圾邮件比例互联网访问邮件系统安全通信安全网络安全(Paloalto、Checkpoint)邮件系统安全（Trendmicro）统计频率分值计算（分值范围0-5）计数天3个月历史平均值为3分,次数+1%分数-0.1，次数-1%分数+0.1计数天3个月历史平均值为3分,次数+1%分数-0.1，次数-1%分数+0.1计数天发生即从3分开始，每增加一次件扣0.5分计数天3个月历史平均值为3分,次数+1%分数-0.1，次数-1%分数+0.1计数天发生即从3分开始，每增加10个文件扣0.5计数1分钟内同一账号删除文件数量超过50个天发生即从3分开始，每增加10个文件扣0.1分计数1分钟内同一账号修改文件数量超过30个天发生即从3分开始，每增加10个文件扣0.2分成功数量/总数量天100%-5分；0%-0分，区域分值平均分配成功数量/总数量天100%-5分；0%-0分，区域分值平均分配成功数量/总数量天100%-5分；0%-0分，区域分值平均分配正常运行客户端/总客户端数量天100%-5分；0%-0分，区域分值平均分配更新客户端数量/总客户端数量天100%-5分；0%-0分，区域分值平均分配成功数量/总数量周100%-5分；0%-0分，区域分值平均分配成功数量/总数量天100%-5分；0%-0分，区域分值平均分配计数天发生即从3分开始，每增加一次扣0.2分计数天发生即从3分开始，每增加一次扣0.2分主机计数同一主机一天内受感染文件超过30个天发生即从3分开始，每增加一台主机扣0.2分主机计数同一主机一天内同一个病毒受感染文件超过30个天发生即从3分开始，每增加一台主机扣0.2分主机计数同一病毒闭环转播天发生即从3分开始，每增加一台主机扣0.3主机计数同一病毒重复感染同一主机天发生即从3分开始，每增加一台主机扣0.4主机计数同一病毒一天内感染主机超过30台天发生即从3分开始，每增加一台主机扣0.3分计数天每个事件一级扣2分，二级扣0.5分，三级扣0.2分成功关闭/总数量天100%-5分；0%-0分，区域分值平均分配计数每10分钟内，同一账号在超过4个办公终端IP登陆成功即为1次；公共账号除外天每增加一次扣0.2分计数帐号创建后1小时内删除天3个月历史平均值为3分,次数+1%分数-0.1，次数-1%分数+0.1计数一天内同一个帐号密码更改超过5次天3个月历史平均值为3分,次数+1%分数-0.1，次数-1%分数+0.1计数2小时内同一账号在不同地理国家登陆天发生即从3分开始，每增加一次扣0.3分账号计数登陆5分钟内登出即为1次天发生即从4分开始，每增加一个账号扣0.2统计方法计数访问经销商门户网站返回403错误总天3个月历史平均值为3分,次数+1%分数-0.1，次数-1%分数+0.1计数每1分钟内同一账号登陆失败超过15次即为1次天3个月历史平均值为3分,次数+1%分数-0.1，次数-1%分数+0.1计数账号登陆失败频率达到4秒/次以上，次数超过15次后，成功登陆天发生即从3分开始，每增加一次扣0.3分计数天发生即从2分开始，每增加一次扣1分计数天发生即从3分开始，每增加一次扣0.2分计数天发生即从3分开始，每增加一次扣0.2分计数天发生即从3分开始，每增加一次扣0.2分计数天发生即从3分开始，每增加一次扣0.2分计数天每增加一次扣0.2分计数天发生即从3分开始，每增加一次扣0.2分计数天每增加一次扣0.2分计数过往3个月打印总数日均值为基数，超出20%为异常天发生即从3分开始，每增加一次扣0.2分成功部署/高风险补丁总数月100%-5分；70%-0分，区域分值平均分配未成功数量/3个月中风险补丁总月100%-5分；70%-0分，区域分值平均分配计数过往3个月同一个补丁都记录为失败的补丁为重复部署月主机计数过往3个月同一个补丁都记录为失败的补丁为重复部署月成功部署/补丁总数月100%-5分；0%-0分，区域分值平均分配主机计数内网发起的端口扫描、应用扫描、数据库扫描等天发生即从2分开始，每增加一台主机扣1分计数天发现即从4分开始，每增加一次扣0.1分计数天发现即从3分开始，每增加一次扣0.3分计数业务部门员工对服务器区使用telnet、ssh、rdp命令天发现即从3分开始，每增加一次扣0.4分计数同一终端10分钟内超过5次准入失败即为1次天发现即从4分开始，每增加一次扣0.1分主机计数天发生即从2分开始，每增加一台主机扣1分计数天每个事件一级扣2分，二级扣0.5分，三级扣0.2分成功关闭/总数量天100%-5分；0%-0分，区域分值平均分配计数天3个月历史平均值为3分,次数+1%分数-0.1，次数-1%分数+0.1计数同一个账号1分钟内超过40个外部网站请求即为1次天3个月历史平均值为3分,次数+1%分数-0.1，次数-1%分数+0.1计数天3个月历史平均值为3分,次数+1%分数-0.1，次数-1%分数+0.1计数天3个月历史平均值为3分,次数+1%分数-0.1，次数-1%分数+0.1计数访问成功即为1次天3个月历史平均值为3分,次数+1%分数-0.1，次数-1%分数+0.1计数天3个月历史平均值为3分,次数+1%分数-0.1，次数-1%分数+0.1计数天3个月历史平均值为3分,次数+1%分数-0.1，次数-1%分数+0.1计数过往3个月拦截总数日均值为基数，超出20%为异常发现即从3分开始，相差每增加10%扣0.1分垃圾邮件数/总邮件数天3个月历史平均值为3分,次数+1%分数-0.1，次数-1%分数+0.1权重系数备注25%25%25%25%例如：rm-rf,fork炸弹，/dev/sda,mv文件夹/dev/null，wgetmaliciousURL-o-|sh,mkfs.ext3/dev/sda,file,ddif=/dev/randomof=/dev/sda等35%30%35%55%需要展示系统名称、IP地址、备份策略、备份结果35%需要展示系统名称、IP地址、备份策略、备份结果10%需要展示系统名称、IP地址、备份策略、备份结果30%35%最新病毒定义库-3都属于更新成功35%每周五扫描一次30%35%35%15%15%20%20%30%45%55%20%20%20%20%20%来自Anyoffice日志20%来自IAM日志35%45%来自HDLP日志25%来自HDLP日志，下同25%25%25%50%50%50%50%35%每月第一周统计上月补丁情况；高风险补丁清单需外部输入25%每月第一周统计2个月前补丁情况15%每月第一周统计前三个月补丁失败情况15%每月第一周统计前三个月补丁失败情况10%每月第一周统计上月补丁情况20%排除扫描主机，来自IPS日志15%来自IPS日志15%15%需要白名单支持15%20%来自IPS日志45%55%15%来自Websense日志，下同15%15%10%15%30%35%35%30%