长亭科技万象COSMOS安全分析与管理平台_安全运营管理平台

申请试用

长亭科技万象COSMOS安全分析与管理平台

长亭科技万象COSMOS安全分析与管理平台，取“包罗万象”之意，采用先进大数据架构、依托长亭多年攻防经验，围绕数据管理、风险分析、运营响应，为用户建立常态化安全运营平台，帮助政企全面提升安全分析及响应效率。

立即咨询

首页 > 产品中心 > 云安全 > 长亭科技万象COSMOS安全分析与管理平台

问题&挑战

2017年前，企业网络安全建设主要以合规功能建设为主；17至21年，进入攻防实战阶段；从22年开始，逐步进入常态化运营阶段，于是内部的安全运营管理工作亟需提升效率、沉淀企业化场景。

架构/技术变革，带来新诉求、新风险 icon

安全更复杂、数据更多、资源需求更弹性等，导致业务需求、运营场景变化，对于平台提出更多痛点需求。

我们如何解决：2个核心理念 icon

常态化运营阶段：更高效、更灵活、更开放，「人+平台」持续运营。

安全分析转化率

能分析、处理过来的告警（更可信、更贴合企业实际）才有意义关键词：安全分析效果

高价值、自动化安全运营

万象+：运营（分析+响应）闭环，完成安全体系的最后一公里关键词：自动响应

我们如何解决：4个解决手段 icon

多源异构数据融合

建立企业级数据标准
针对不同设备、风险场景需求，可灵活定义数据&模型，建立企业级数据标准；接入安全日志、资产、漏洞、情报等数据，建立统一安全数据中心；

SOAR（SIEM+SOAR）

内置自动化场景
SIEM+SOAR一体化；工单（流程可定义）、报告（模板可定义）、自定义拓扑大屏等；处置联动场景（边界拦截、会话阻断、主机隔离等）；

白盒化分析交互、语境引擎

高价值分析能力/规则积累
基于长亭多年领先攻防经验、丰富安全产品经验积累，赋能 100+内置分析场景&规则；实时/离线高级交互分析引擎（灵活白盒化分析）、「语境」自然语境构建引擎（国内首个、提供零门槛分析）；

攻防/运营技术

开放性架构&模式
依托长亭攻防优势经验，帮助企业快速落地战时/日常场景，构建企业安全运营体系；升级架构&模式，多种部署模式支持，微服务、低代码、更开放；

我们如何解决：产品落地 icon

万象 COSMOS 安全分析与管理平台

取“包罗万象”之意，采用先进大数据架构、依托长亭多年攻防经验，围绕数据管理、风险分析、运营响应，为用户建立常态化安全运营平台，帮助政企全面提升安全分析及响应效率。

安全日志数据接入：更开放、更灵活、更高效 icon

支持主动、被动的主流数据获取方式，支持Syslog、FTP/SFTP、JDBC、Kafka、导入等若干数据采集方式，内置解析规则覆盖20+主流厂商、80+种类设备，支持零基础数据范化功能，可快速接入json、xml、键值对，并提供正则模式，平均新数据接入配置时间15分钟。

企业安全数据中心

建立企业级数据标准、建立统一安全数据中心

多源数据接入&处理
支持扩展第三方日志、资产、情报源

数据模型自定义
内置数据标准、可扩展数据模型

企业级安全数据中心
统一安全数据管理

资产数据中心：资产运营 icon

摸清企业家底、盘点资产台账，基于万象平台汇聚企业数据优势，强调建立安全资产中心，解决资产数据不统一、维护属性差异大、未知资产存在安全隐患等问题，管理资产及其属性、重点关注各类安全属性。

资产数据管理

①多源资产数据融合，建立资产台账；

②资产识别、发现；

资产漏洞管理

①漏洞全生命周期管理；

②引擎管理：可扩展第三方检测引擎、长亭资产探针；

资产入侵风险

①视角1：资产——>告警；

②视角2：告警——>资产；

核心理念 - 安全分析转化率 icon

能分析、处理过来的告警（更可信、更贴合企业实际）才有意义，关键词：安全分析效果、常态化运营、提高效率。

安全告警

通过构建「安全分析规则」，通过规则关联各类日志、挖掘日志特征，生成安全告警(事件)，告警是可以处置的。

安全日志

原始日志经过解析、处理ETL（过滤、映射、丰富、归并），生成标准统一的安全日志；安全日志是安全告警、威胁研判的基础数据。原始日志

各类安全设备，通过syslog、kafka等方式收集起来的检测结果日志。

白盒化关联分析

分析工具/手段

能力强大分析工具，将企业分析诉求转化为分析规则、场景，高效分析；

场景/能力积累

内置高价值分析规则、场景；沉淀、积累企业的分析运营能力，人（能力/经验）+工具（规则/处置动作/系统联动等）+流程；

分析引擎基座

内置实时流式分析引擎、离线周期分析引擎、自然语境构建 3 大引擎；

持续运营

需要「人+平台」的持续运营；

语境：国内首个

分析实践 · 持续运营 icon

多源校验

兼听则明，偏听则暗；3家全流量都判定为高危攻击，情报认定是活跃黑产IP，封；

用户行为

知己知彼，方能百战不殆；收集堡垒机、VPN登录日志，形成基线，异常登录就查；

统计聚合

窗外喧嚣，不过几只燕雀；3000条扫描聚合为1条告警，共计7个攻击者IP发起本轮攻击；

时序分析

对话潜伏在这片时空的APT，14天内A攻击B，B攻击C，则告警B为高可疑失陷资产。

应用：交互式关联分析 icon

应用：风险告警配置串联 icon

核心理念 – 高价值、自动化安全运营 icon

更高效率、更稳定

基于高价值、更可信告警，响应更精准、更有效，触发端（例如防火墙）处理压力大幅度降低；串联大数据处理能力，更稳定、更高效；

SIEM+SOAR一体化-全能力编排

万象全能力（告警/工单/处置动作/数据/API等）可编排，支持快速落地剧本编排及组件开发；

灵活、丰富的支撑功能

处置联动场景（边界拦截、会话阻断、主机隔离等）；工单自定义（资产稽核流程、漏洞处置流程、风险研判&处置流程等），报告中心、通知等；

SOAR：可编排、轻代码 icon

可编排：拖拽方式灵活支持流程绘制，帮助企业串联规范化、流程化安全管控工作，降低企业安全运营成本；轻代码：针对企业不同安全运营业务、不同需求，轻代码模式具备快速响应、构建剧本能力；

丰富剧本、动作，持续扩展 icon

在万象全能力基础上，快速落地各类自动化处置动作、响应能力，自定义编排运营剧本，快速构建面向用户实际业务的运营场景&逻辑。

自动化处置类
风险快速处置响应：IP封禁、主机隔离、会话阻断、文件隔离、VPN账号封禁、长亭设备包等；

人工流程类
内置工单模块、企业工单系统对接：风险研判/处置流程、资产信息稽核流程、漏洞全生命周期管理；

日常合规类
任务触发、合规管理：漏洞扫描任务触发、弱口令/合规基线任务触发、资产信息同步/更新；

运维监控类
运维监控：日常设备监控；

即时通知类
消息即时通知：邮件、短信、企业微信、钉钉等通知；

综合工具类
应用综合工具：情报信息查询、IP地址库信息、解码/编码工具、万象API（资产信息、用户信息、黑/白名单等）；

SOAR实践：IP自动化封禁 icon

场景1：外部高危攻击场景，针对高确信IP进行自动化封禁，定义封禁组及封禁上限，保障业务稳定；场景2：人工分析研判、高危情报IP，进行人工封禁，可设置永久/定时；场景3：区分场景，细粒度拆分互联网出口、专线出口防火墙，提升阻断效果；

SOAR实践：威胁情报联动 icon

通过手动拖拽组件，组件定义各种威胁情报判断逻辑

判断是否命中威胁情报IP；

判断是否境外IP、企业专线、公有云IP、IP信誉等；

场景1：利用情报数据即时性特征，增加情报命中分析，快速扩展威胁识能力，提升风险自动化处置准确率

通过情报数据与平台告警再次关联，根据情报信誉程度、威胁等级、告警等级攻击类型、风险区域等因素进行综合判定，构建自动封禁策略，提升自动化处置准确率。

场景2：基于情报信息对告警进行综合检索、研判

在告警特征命中情报后，平台支持对告警信息增加情报命中标识，通过情报对告警进行组合检索，并进一步展示情报详细信息，支撑运营人员对告警进行综合性研判。

统一安全运营体系：人+平台 icon

运营体系-安全运营服务交付清单 icon

架构&模式：微服务、低代码、更开放 icon

面向不同企业化需求，基于微服务交付模式，快速适应并落地项目开发能力：全流程白盒化「基础」：可视化（仪表盘、报告），运营管理（工单、拓扑），分析规则，数据模型等；架构更开放「升级」：基于APP中心、SOAR模式，支持多种第三方扩展（第三方数据源、设备联动、系统对接等）；

案例①：安全大脑（分析&决策运营体系） icon

一、项目背景

某金融用户，原先使用Splunk，国产化趋势下寻求具有安全分析能力者作为本地安全大脑，构建全网安全运营体系。

二、需求分析

重视平台安全分析能力，用户需要对抗APT组织，精确实现对高级威胁攻击从外到内的安全监测和防御；需要非常灵活的安全规则配置能力，充分发挥现网多种安全设备的数据价值，形成自身安全基线；参加国家攻防演练，需要提高防守效率。

三、客户收益

接入本地防火墙、IPS、WAF、抗D、威胁情报等10+设备，梳理组织的安全usecase和基线学习规则，快速聚合高危攻击IP，看清高危IP完整的攻击链条，大大提升准确率，降低MTTD （平均检测时间）；构建自动化封禁IP剧本，联动绿盟WAF、启明IPS，HW期间自动化封禁IP 19073个，降低MTTR （平均响应时间）。

案例②：自动化风险分析响应（SIEM+SOAR一体化） icon

一、项目背景

某证券用户，需要扩增自动化风险处置能力，构建SIEM+SOAR一体化；且原有系统交旧，期望引入新分析能力；

二、需求分析

亟需自动化风险处置、运营动作编排，解决人无法24小时快速响应问题；重视平台安全分析能力，旧SIEM无法满足分析诉求，比如复杂多表关联、自定义字段聚合等；

三、客户收益

接入第三方威胁情报数据、主机（端）HIDS等设备扩展更多数据源，实现多数据源逻辑分析场景；联动各个边界防火墙实现自动化IP封禁；编排自定义多个场景，例如：情报验证场景、恶意邮件拦截、恶意文件防护、基于终端防护验证溯源，联动ITSM工单系统、短信网关通知等。

案例③：小态感流量检测分析 icon

一、项目背景

某国家部委有新上线业务，但内部缺乏流量检测手段和安管中心，需要通过等级保护（三级）和政务安全合规检测；同时也提升内网的检测保护技术手段。

二、需求分析

需要通过等保2.0为主的合规测评，构建合规的安全体系。部署设备或进行资产加固，提升内网检测保护能力，客户之前遭受过攻击，也希望从该项目增加监测手段。

三、客户收益

在等级保护检测中，满足安全事件管理（采集、分析、响应、关联规则）、风险管理、资源监控等功能项，作为安全管理中心顺利通过测评；长亭安服监测、梳理流量日志，发现了某APT组织的攻击痕迹，并做了处置，获得了较大认可。

多种服务及部署模式

云化部署、弹性扩容，适应复杂环境下的安全工作

产品推荐查看更多>>

智安网络电商安全解决方案

提供特色的数据库安全服务，与多项安全服务配合构建多重防护，帮助客户全方位保护云上数据安全。提供敏感数据发现、数据库审计和防注入攻击等保护数据功能，很好的防御拖库等恶意攻击，保障云上数据库的安全。

构建多重防护

全方位保护云上数据安全

敏感数据发现

云上数据库安全

立即咨询查看详情

腾讯云隐私计算平台

腾讯云隐私计算平台，基于密码学、联邦学习等技术，围绕数据的：使用安全与隐私保护打造通用性隐私计算平台。通过端到端的实现方式，实现数据合规流通与赋能。

跨机构异步并行计算、海量数据计算

多种容错机制，支持pipeline级别断点续训

支持数据维度、项目维度等多颗粒的数据

支持YARN、K8s等资源管理

立即咨询查看详情

上讯信息金融行业敏捷数据管理平台ADM

上讯信息金融行业敏捷数据管理平台ADM是上海上讯信息技术股份有限公司（以下简称“上讯信息”）自主研发的，主要面向金融、运营商、政府、能源、医疗等行业打造的全生命周期数据安全管理软件产品，用于数据备份、备份数据恢复验证、测试数据交付和静态数据脱敏等应用场景，可为企业上、中、下游数据的高效使用和安全管控提供一套整体解决方案。

测试数据版本灵活管理

测试数据系统可视化管理

测试数据存储压缩

数据脱敏保证金融数据安全

立即咨询查看详情

数字化社区查看更多>>