icon问题&挑战icon

2017年前,企业网络安全建设主要以合规功能建设为主;17至21年,进入攻防实战阶段;从22年开始,逐步进入常态化运营阶段,于是内部的安全运营管理工作亟需提升效率、沉淀企业化场景。

icon架构/技术变革,带来新诉求、新风险icon

安全更复杂、数据更多、资源需求更弹性等,导致业务需求、运营场景变化,对于平台提出更多痛点需求。

icon我们如何解决:2个核心理念icon

常态化运营阶段:更高效、更灵活、更开放,「人+平台」持续运营。

安全分析转化率
能分析、处理过来的告警(更可信、更贴合企业实际)才有意义 关键词:安全分析效果
高价值、自动化安全运营
万象+:运营(分析+响应)闭环,完成安全体系的最后一公里关键词:自动响应
icon我们如何解决:4个解决手段icon
多源异构数据融合
建立企业级数据标准
针对不同设备、风险场景需求,可灵活定义数据&模型,建立企业级数据标准;接入安全日志、资产、漏洞、情报等数据,建立统一安全数据中心;
SOAR(SIEM+SOAR)
内置自动化场景
SIEM+SOAR一体化;工单(流程可定义)、报告(模板可定义)、自定义拓扑大屏等;处置联动场景(边界拦截、会话阻断、主机隔离等);
白盒化分析交互、语境引擎
高价值分析能力/规则积累
基于长亭多年领先攻防经验、丰富安全产品经验积累,赋能 100+内置分析场景&规则;实时/离线高级交互分析引擎(灵活白盒化分析)、「语境」自然语境构建引擎(国内首个、提供零门槛分析);
攻防/运营技术
开放性架构&模式
依托长亭攻防优势经验,帮助企业快速落地战时/日常场景,构建 企业安全运营体系;升级架构&模式,多种部署模式支持,微服务、低代码、更开放;
icon我们如何解决:产品落地icon
万象 COSMOS 安全分析与管理平台
取“包罗万象”之意,采用先进大数据架构、依托长亭多年攻防经验,围绕数据管理、风险分析、运营响应,为用户建立常态化安全运营平台,帮助政企全面提升安全分析及响应效率。
icon安全日志数据接入:更开放、更灵活、更高效icon

支持主动、被动的主流数据获取方式,支持Syslog、FTP/SFTP、JDBC、Kafka、导入等若干数据采集方式,内置解析规则覆盖20+主流厂商、80+种类设备,支持零基础数据范化功能,可快速接入json、xml、键值对,并提供正则模式,平均新数据接入配置时间15分钟。

icon企业安全数据中心icon

建立企业级数据标准、建立统一安全数据中心

多源数据 接入&处理
支持扩展第三方日志、资产、情报源
数据模型 自定义
内置数据标准、可扩展数据模型
企业级安全数据中心
统一安全数据管理
icon资产数据中心:资产运营icon

摸清企业家底、盘点资产台账,基于万象平台汇聚企业数据优势,强调建立安全资产中心,解决资产数据不统一、维护属性差异大、未知资产存在安全隐患等问题,管理资产及其属性、重点关注各类安全属性。

 
资产数据管理
①多源资产数据融合,建立资产台账;
②资产识别、发现;
资产漏洞管理
①漏洞全生命周期管理;
②引擎管理:可扩展第三方检测引擎、长亭资产探针;
资产入侵风险
①视角1:资产——>告警;
②视角2:告警——>资产;
icon核心理念 - 安全分析转化率icon
能分析、处理过来的告警(更可信、更贴合企业实际)才有意义,关键词:安全分析效果、常态化运营、提高效率。
 
安全告警
通过构建「安全分析规则」,通过规则关联各类日志、挖掘日志特征,生成安全告警(事件),告警是可以处置的。
安全日志
原始日志经过解析、处理ETL(过滤、映射、丰富、归并),生成标准统一的安全日志;安全日志是安全告警、威胁研判的基础数据。 原始日志
各类安全设备,通过syslog、kafka等方式收集起来的检测结果日志。
icon白盒化关联分析icon
分析工具/手段
能力强大分析工具,将企业分析诉求转化为分析规则、场景,高效分析;
场景/能力积累
内置高价值分析规则、场景;沉淀、积累企业的分析运营能力,人(能力/经验)+工具(规则/处置动作/系统联动等)+流程;
分析引擎基座
内置实时流式分析引擎、离线周期分析引擎、自然语境构建 3 大引擎;
持续运营
需要「人+平台」的持续运营;
icon语境:国内首个icon
icon分析实践 · 持续运营icon
多源校验
兼听则明,偏听则暗;3家全流量都判定为高危攻击,情报认定是活跃黑产IP,封;
用户行为
知己知彼,方能百战不殆;收集堡垒机、VPN登录日志,形成基线,异常登录就查;
统计聚合
窗外喧嚣,不过几只燕雀;3000条扫描聚合为1条告警,共计7个攻击者IP发起本轮攻击;
时序分析
对话潜伏在这片时空的APT,14天内A攻击B,B攻击C,则告警B为高可疑失陷资产。
icon应用:交互式关联分析icon
icon应用:风险告警配置串联icon
icon核心理念 – 高价值、自动化安全运营icon
更高效率、更稳定
基于高价值、更可信告警,响应更精准、更有效,触发端(例如防火墙)处理压力大幅度降低;串联大数据处理能力,更稳定、更高效;
SIEM+SOAR一体化-全能力编排
万象全能力(告警/工单/处置动作/数据/API等)可编排,支持快速落地剧本编排及组件开发;
灵活、丰富的支撑功能
处置联动场景(边界拦截、会话阻断、主机隔离等);工单自定义(资产稽核流程、漏洞处置流程、风险研判&处置流程等),报告中心、通知等;
iconSOAR:可编排、轻代码icon

可编排:拖拽方式灵活支持流程绘制,帮助企业串联规范化、流程化安全管控工作,降低企业安全运营成本;轻代码:针对企业不同安全运营业务、不同需求,轻代码模式具备快速响应、构建剧本能力;

icon丰富剧本、动作,持续扩展icon

在万象全能力基础上,快速落地各类自动化处置动作、响应能力,自定义编排运营剧本,快速构建面向用户实际业务的运营场景&逻辑。

自动化处置类
风险快速处置响应:IP封禁、主机隔离、会话阻断、文件隔离、VPN账号封禁、长亭设备包等;
人工流程类
内置工单模块、企业工单系统对接:风险研判/处置流程、资产信息稽核流程、漏洞全生命周期管理;
日常合规类
任务触发、合规管理:漏洞扫描任务触发、弱口令/合规基线任务触发、资产信息同步/更新;
运维监控类
运维监控:日常设备监控;
即时通知类
消息即时通知:邮件、短信、企业微信、钉钉等通知;
综合工具类
应用综合工具:情报信息查询、IP地址库信息、解码/编码工具、万象API(资产信息、用户信息、黑/白名单等);
iconSOAR实践:IP自动化封禁icon

场景1:外部高危攻击场景,针对高确信IP进行自动化封禁,定义封禁组及封禁上限,保障业务稳定;场景2:人工分析研判、高危情报IP,进行人工封禁,可设置永久/定时;场景3:区分场景,细粒度拆分互联网出口、专线出口防火墙,提升阻断效果;

iconSOAR实践:威胁情报联动icon
 
通过手动拖拽组件,组件定义各种威胁情报判断逻辑
判断是否命中威胁情报IP;
判断是否境外IP、企业专线、公有云IP、IP信誉等;
场景1:利用情报数据即时性特征,增加情报命中分析,快速扩展威胁识能力,提升风险自动化处置准确率
通过情报数据与平台告警再次关联,根据情报信誉程度、威胁等级、告警等级攻击类型、风险区域等因素进行综合判定,构建自动封禁策略,提升自动化处置准确率。
场景2:基于情报信息对告警进行综合检索、研判
在告警特征命中情报后,平台支持对告警信息增加情报命中标识,通过情报对告警进行组合检索,并进一步展示情报详细信息,支撑运营人员对告警进行综合性研判。
icon统一安全运营体系:人+平台icon
icon运营体系-安全运营服务交付清单icon
icon架构&模式:微服务、低代码、更开放icon

面向不同企业化需求,基于微服务交付模式,快速适应并落地项目开发能力:全流程白盒化「基础」:可视化(仪表盘、报告),运营管理(工单、拓扑),分析规则,数据模型等;架构更开放「升级」:基于APP中心、SOAR模式,支持多种第三方扩展(第三方数据源、设备联动、系统对接等);

icon案例①:安全大脑(分析&决策运营体系)icon
一、项目背景
某金融用户,原先使用Splunk,国产化趋势下寻求具有安全分析能力者作为本地安全大脑,构建全网安全运营体系。
二、需求分析
重视平台安全分析能力,用户需要对抗APT组织,精确实现对高级威胁攻击从外到内的安全监测和防御;需要非常灵活的安全规则配置能力,充分发挥现网多种安全设备的数据价值,形成自身安全基线;参加国家攻防演练,需要提高防守效率。
三、客户收益
接入本地防火墙、IPS、WAF、抗D、威胁情报等10+设备,梳理组织的安全usecase和基线学习规则,快速聚合高危攻击IP,看清高危IP完整的攻击链条,大大提升准确率,降低MTTD (平均检测时间);构建自动化封禁IP剧本,联动绿盟WAF、启明IPS,HW期间自动化封禁IP 19073个,降低MTTR (平均响应时间) 。
icon案例②:自动化风险分析响应(SIEM+SOAR一体化)icon
一、项目背景
某证券用户,需要扩增自动化风险处置能力,构建SIEM+SOAR一体化;且原有系统交旧,期望引入新分析能力;
、需求分析
亟需自动化风险处置、 运营动作编排,解决人无法24小时快速响应问题;重视平台安全分析能力,旧SIEM无法满足分析诉求,比如复杂多表关联、自定义字段聚合等;
三、客户收益
接入第三方威胁情报数据、主机(端)HIDS等设备扩展更多数据源,实现多数据源逻辑分析场景;联动各个边界防火墙实现自动化IP封禁;编排自定义多个场景,例如:情报验证场景、恶意邮件拦截、恶意文件防护、基于终端防护验证溯源,联动ITSM工单系统、短信网关通知等。
icon案例③:小态感流量检测分析icon
一、项目背景
某国家部委有新上线业务,但内部缺乏流量检测手段和安管中心,需要通过等级保护(三级)和政务安全合规检测;同时也提升内网的检测保护技术手段。
二、需求分析
需要通过等保2.0为主的合规测评,构建合规的安全体系。部署设备或进行资产加固,提升内网检测保护能力,客户之前遭受过攻击,也希望从该项目增加监测手段。
三、客户收益
在等级保护检测中,满足安全事件管理(采集、分析、响应、关联规则)、风险管理、资源监控等功能项,作为安全管理中心顺利通过测评;长亭安服监测、梳理流量日志,发现了某APT组织的攻击痕迹,并做了处置,获得了较大认可。
icon多种服务及部署模式icon

云化部署、弹性扩容,适应复杂环境下的安全工作

产品推荐 查看更多>>
    天空卫士 增强型安全邮件网关ASEG

    增强型邮件安全网关(ASEG)是天空卫士公司的针对邮件安全存在的风险和问题而提供的完整的邮件安全解决方案。增强型邮件安全网关是以高性能邮件转发功能为基础,通过MTA的部署方式对企业入站、出站、内部的邮件进行全方位的安全防护。

    全方位

    安全防护

    六方云神探 全流量威胁检测与回溯系统

    六方云全流量威胁检测与回溯系统(简称:神探)产品,区别于传统的静态检测“已知威胁”的解决方案,采用领先的AI威胁检测技术,结合全流量收集、深度监测、智能分析等手段,实现了对用户环境100%的可见度,能够发现用户以前从未感知到的潜在威胁,并辅助完成威胁研判和追踪溯源。

    AI安全引擎实时发现未知威胁

    威胁检测准确率超过90%

    自动发现并识别IT与OT资产

    攻击链视角完整还原

    昂楷运维审计系统

    昂楷运维审计系统是一款基于B/S架构的操作行为安全审计系统,将身份认证、授权、管理、审计有机地结合,保证只 有合法IT运维用户才能使用其拥有运维权限的关键资源,可实现对IT运维人员操作的事前预防,事中控制,事后审计。

    安全可靠

    功能完备