需求概括

描述

部署环境及架构

1、支持信创CPU；
2、支持操作系统；
3、支持信创数据库；
4、支持信创中间件（如果有）；
5、支持服务器集群或分布式架构部署，满足单节点故障情况下服务高可用；
6、提供技术方案及部署架构相关材料，如具备国内操作系统、数据库或中间件平台厂商适配认证请一并提供。

常规功能需求

1、告警接入功能：通过Syslog协议、Kafka、本地采集、手动添加等多种方式采集告警数据；
2、告警/事件信息提取功能：支持通过正则、Json、Kv等方式解析告警并提取信息；
3、告警管理功能；支持通过不同条件对告警信息进行检索；支持告警的统计功能；
4、告警自动化响应功能；支持自定义告警响应规则；
5、应用管理功能：支持通过应用实现对内外部应用/系统进行统一化管理；已支持的应用数量不低于150个；
6、应用开发集成：具备开放可扩展的应用集成框架，允许开发人员以Python、Java等语言进行应用开发；
7、剧本编排能力：支持基于工作流引擎的可视化剧本编辑器；剧本支持调用应用、子剧本、条件分支、聚合、审批、轮询、循环、虚拟等多种节点；
8、剧本管理能力：支持剧本导入导出、复制、删除等操作；支持进行权限控制以及版本管理；
9、剧本运行监控：具备剧本运行状态监控能力，能够查看剧本运行状态详情；
10、剧本运行调度功能：剧本支持周期性调度，也可通过接口对外提供调用；
11作战室协同作战功能：支持通过作战室进行协同化应急处置；
12安全管理功能：支持等保要求的用户管理要求；支持对自身系统运行状态的监控；支持系统运行相关的各类日志外发功能。

实施服务

一、设备/系统对接服务包括但不限于：

总对接设备/系统数量不超过150台

1. Web应用防火墙（3个品牌）：动作涉及用户管理、站点管理、策略管理、IP黑白名单管理、证书管理、特征库更新等；

2. 流量探针设备：动作涉及用户管理、特征库更新、自定义情报管理、旁路阻断等；

3. 流量分析平台：动作涉及用户管理、特征库更新等；

4. 态势感知及安全分析平台：动作涉及用户管理、规则管理、告警管理、IP/字段串/表对象维护管理、资产信息同步等；

5. 统一日志平台：动作涉及日志检索等；

6. 青藤云：动作涉及主机信息查询、进程查询、端口信息查询；

7. 漏洞管理平台：动作涉及漏洞查询、新增、推送等；

8. 容器云：动作涉及容器信息查询等；

9. 防病毒：主机信息查询、调用病毒查杀等；

10.桌面云：动作涉及桌面云资源维护等；

11.零信任：动作涉及账号禁用/启用，用户登录查询等；

12.内部认证系统：动作涉及账号禁用/启用、账号状态等；

13.LDAP/IAM：动作涉及用户信息及状态查询；

14.华为云/腾讯云：动作涉及CDN查询、安全组维护、IP黑白名单管理等；

15.防火墙（6个品牌）：动作涉及IP封禁、解封；

16.交换机（3个品牌）：动作涉及黑洞路由增加、删除；

17.DNS服务器：动作涉及特定DNS记录添加/删除；

18.外部ES：涉及IP关联用户数量查询、C段关联用户数量查询；

二、剧本开发（不少于20个）

剧本示例如下：

1. 互联网IP惩罚式半自动化封禁

2. 内网攻击自动调查分析

3. 进程异常事件自动调查分析

4. 可疑IOC的提取及监控策略自动添加