PT2-MSS - 2023/10/10 下午

2023-10-10

6 min read

Hits

深信服安全托管服务 MSS 联合运营服务经理 PT2 培训第二天下午。

安全托管服务测试流程

MSS/MDR 测试特别说明

目标客群：MSS 测试由于需要较高的测试成本，所以“好钢要用在刀刃上”，要将有限的测试资源用在能够明确带来较大 MSS 产出的客户上，对于落单概率低、资产规模过小的客户，建议采用方案汇报、案例视频观看、数字孪生平台演示等方式做技术认可。

客户画像

客户有一定规模，泛 KA 及以上，能购买 MSS 的资产数量较大；
有预算，当年度有意愿采购 MSS；
对托管安全服务的模式认可，网络情况和客户意愿均允许数据接入线上；
业务特征：安全成熟度一般、又安全运营建设需求；安全人手不足、对安全效果不满意；出过安全事件；SIP 老客户。

注意事项

测试以达成效果为目标，标准测试周期 15 天（以上线时间为准），不可延期。
总部在进行测试审批时，明确不给与测试的场景
1. 客户需求是国家级/省市级 HW 等强对抗场景，不提供 MSS 测试；
2. 销售/售前未跟客户正式介绍过 MSS 方案，只是为了做客情关系，实际客户根本对 MSS 无感知或测试过程明确不配合；
3. 客户纯内网环境，或外网业务很少且不被客户关注，或客户不愿接入数据到云端；
4. 组件不全（至少需要有 AF 和 EDR）又无法协调到资源保障；
5. 客户是否有定制化需求，如有需提前与总部确认；
6. 测试申请表中必填字段未填写的，服务经理流程驳回。
7. 若有以上情况审批进入到 MSS 流程中，服务经理可直接拒绝测试！
测试结束/服务到期半年内，统一客户不允许再申请测试。

MSS/MDR 测试申请流程

填写《测试申请表》，发起邮件申请（责任人：销售/售前）
1. 【发送人员】总部 MSS 测试组长（易旭 84795）、运营中心渠道经理
2. 【抄送】区域交付主管、区域 MSS 交付经理、区域安服运营、和其他项目组成员
进行测试申请审核，审核重点（责任人：区域 MSS 交付经理）
1. 商机录入（销管截图）、需求和场景是否明确
2. 《测试申请表》信息是否齐全

MSS/MDR 测试流程

测试流程与正式流程差异不大，区别在于

启动阶段：外部启动会 PPT 与正式项目内容上有些差异
持续运营阶段：时间较短，一般一周左右
汇报阶段：正式流程中的结项阶段，更改为汇报阶段，输出测试汇报材料，面向客户进行测试汇报
立项分配
内部建群
授权获取
外部建群
内外部启动会
运营准备
正式运营
测试汇报

启动阶段

服务项	具体事项	责任人
立项分配	（1）区域 MSS 交付经理在 MSSP 进行项目立项，并上传相关文件	MSS 交付经理
立项分配	（2）分配 MSS 服务经理	联合运营中心组长
立项分配	（3）运营中心渠道经理并创建测试账号（MSS 测试）	联合运营中心组长
建内部群	内部建群，拉齐各方相关人员，互相沟通【必须成员】渠道销售、渠道售前、MSS 服务经理【按需】技服	MSS 交付经理
授权获取	获取客户授权：签署正式的保密协议和测试授权函或走对公邮件授权流程	渠道销售/售前
外部建群	建立与客户的 MSS 测试沟通群【必须】客户 + 渠道销售、渠道售前、MSS 服务经理【按需】渠道技服、MSS 交付工程师	渠道 MSS 服务经理
内外部启动会	召开内外部启动会，对其测试需求和目标；完成《测试交付计划表》上传 MSSP	渠道 MSS 服务经理

运营准备

服务项	具体事项	责任人
设备部署	部署安全设备或低版本升级（已有设备且版本适配可跳过），部署 TSS（测试漏洞管理需要部署），若无技服，MSS 服务经理可远程部署	渠道销售/售前-协调渠道技服
组件接入	组件接入：现场有技服则配合服务经理接入，若无技服则服务经理远程操作接入（远程环境故障由服务经理协调线下安服上门）	MSS 服务经理
资产录入	资产录入：服务经理配合客户梳理测试资产录入 MSSP 平台	MSS 服务经理
首次威胁分析	基于安全运营中心平台的日志分析客户当前存在的潜在威胁、脆弱性问题、安全策略问题输出《首次安全威胁分析报告》	MSS 服务经理

持续运营：根据《MSS/MDR 测试交付》基于资产管理、脆弱性管理、威胁管理、事件进行持续为客户进行安全运营，与正式 MSS 项目无差异

汇报阶段

服务项	具体事项	责任人
服务下线	与正式 MSS 项目一样进行下线通告、数据销毁、设备回收等	MSS 服务经理
汇报材料输出	服务经理整理测试成果输出汇报 PPT	MSS 服务经理
汇报材料整合	售前将项目方案和汇报材料整合	渠道售前
现场汇报	云端服务经理远程协助答疑	渠道销售/售前

MSS/MDR 测试汇报 PPT 讲解

测试基本情况介绍
服务测试结果汇报
遗留问题及解决方案
安全运营工作建议

安全托管服务（重保）MSS 流程

安全托管服务（重保）MSS 介绍

服务价值：为用户提供持续、有效、省心、便捷的重大保障安全托管服务
服务目标
1. 针对重保场景应用特性，依托安全托管 MSS 核心能力优化服务流程，7×24H 不间断风险监测并动态清零
2. 保障重保工作有序完成
服务场景
1. 攻防演习重保
2. 重大活动重保
3. 重要时期重保
主要服务内容
1. 备战阶段：完成资产识别与梳理、重保策略加固、首次分析、首次处置、暴露面梳理、威胁狩猎准备工作
2. 实战阶段：持续性开展脆弱性管理、威胁管理、事件管理、应急响应、日报工作
3. 总结阶段：对重保服务进行总结汇报，总结重保期间的安全成果和价值，针对重保发现的问题作出下一步的计划及处理意见等内容，输出重保总结报告
重保服务分为准备工作、值守工作（线上）、值守工作（线下）三部分
值守工作（线下）由渠道自行提供无需向深信服下单，其它两部分需要向深信服下单

备战阶段流程详解

服务项目	服务内容	过程文档	实施人员
内部启动会	确定项目组成员，和项目组成员项目信息及值守要求，如客户信息、是否 KA 客户、客户预期、合同链信息、是否主导，金额等，现场值守人员情况等	《MSS 重保项目线上信息确认表》《内部启动会会议纪要》	运营中心服务经理
项目启动会	确定服务方案、服务交付计划、服务内容、服务范围、验收标准、项目组成员以及职责分工、组件部署计划、签订保密协议，风险告知书等内容	《授权函》《保密协议》《风险告知书》	安服技术负责人
资产收集	根据合同购买的资产梳理，整理收集上线信息、服务资产清单、重保网段信息、服务组件信息、拓扑图以及映射表等	《MSS 重保项目线下信息收集表》	MSS 交付工程师
组件接入及资产录入	确定服务资产清单，并且按照实施方案进行设备上架并接入安全运营中心并且将服务资产清单录入客户资产管理模块	/	MSS 交付工程师、运营中心服务经理

首次安全威胁分析报告编写培训

大钢结构

基本信息
安全评级
安全态势总结
1. 重要问题（高危）
2. 下一步计划
分析与检查结果
1. 组件检查
2. 策略检查
3. 资产管理
4. 脆弱性管理
5. 威胁管理
6. 事件管理
意见反馈

基本信息

建议每次都用模板写，在其他客户的基础上修改比较大概率出现其他客户信息

安全态势总结

数据来源：威胁管理、事件管理、脆弱性管理

注：“整体安全态势一般”如果客户网络确实安全记得修改

分析与检查结果

分析时间范围：大于等于 7 天，不超过 1 个月，注意当月输出首次报告后，次月仍需输出月报

组件检查：接入的设备和部署位置都要按实际情况修改，共进行安全组件在线检查 1 次，SIP 态势感知、TSS 等安全组件均正常在线，可正常对服务资产进行安全情况的持续监测和预警
策略检查：确认接入组件的策略安全情况，确保策略准确，无安全隐患，共进行安全组件策略检查 1 次，其中发现策略隐患问题共 X 项，处置建议详见《安全问题整改要求》。安全组件策略检查具体项见表格（注：在 MSSP 平台工具集的策略检查获取表格数据，如不支持组件版本，需手动跳转到检查策略项）

端口	服务
21	FTP
22	SSH
23	telnet
111/2049	nfs
445、135、137、138、139	SMB
161	SNMP
1433	SQL SERVER 数据库
1521	ORACLE 数据库
2181	ZooKeeper 未授权
2375	docker 未授权
3306	MYSQL 数据库
3389	RDP 远程桌面
4899	RDDMIN 远程连接
5362	pcanywhere
5900	VNC 远程连接
5984	CouchDB
6379	REDIS
7001	WEBLOGIC
8069	zabbix 远程代码执行
9200/9300	elasticsearch
9090	websphere
10041	Groonga admin 未授权删除
11211	memcache 未授权
27017	MONGODB
43958	SERVER-U
50070、50075	Hadoop 未授权访问