服务电话:400-0972-788
申请试用

首页 > 产品中心 > 安全事件管理平台

企业运营面临的主要问题
安全设备多 日常维护压力大
经过一段时间的安全建设,企业基本都建立起较为完善或初步的安全防御体系,在技术手段层面,其中会部署了一定数量的、多种类型的安全产品。如防火墙、WAF、IPS、NIDS、防病毒、邮件网关、HIDS等,并且各类安全产品相互孤立,由于安全管理人员精力有限,面对一整个安全防御体系中的安全产品的日常维护管理压力很大。
安全事件闭环处置进展 缓慢或者并无闭环处置
安全事件对应的资产往往需要独立再去资产库里面进行查询,同时资产上对应的漏洞也无从得知,在整个安全事件闭环管理上,安全管理人员容易出现大量未知的空白区,无法促使安全管理人员做出有效且快速的判断,实现对安全事件的处置。
日志量大,告警事件多 并无事件处置优先级之分
安全设备每天都会产生大量的日志,其中不乏大量的误报信息,而实际上安全运维人员每日处理的安全事件有限,可能导致关键的安全信息和告警被大量的无效告警淹没
 
 
安全现状不可见
面对庞大复杂的网络和业务系统,企业无从知晓自身的安全状态、安全建设效果、安全风险的变化情况,无法为不同层面的人员,如领导层、管理层和运维人员提供“可见”的报告来说明企业的安全问题和现状。
安全事件管理平台

日志易经过大量的安全日志分析项目实践,认为企业面临的威胁应该划分为三种:

已知威胁   即可以通过规则定义出来的威胁场景,也是专家经验固化的检测对象;

可疑威胁   即不能马上确认有问题,需要进一步展开调查分析的威胁;

未知威胁   即在认知之外的威胁,如果不是出现某个偶然事件,引起调查分析,就不能够被发现。

日志易安全事件管理平台,是兼具关联分析和异常分析能力的安全分析平台,全面支持各种威胁类型(已知威胁、可疑威胁以及未知威胁)的检测、分析与响应。平台基于日志易数据搜索引擎,通过流批处理计算框架,对企业的日志、流量数据进行深度关联,并结合资产信息、漏洞信息,进行威胁自动化响应处置,提高用户在安全运营方面的决策能力。
平台功能
威胁检测
一个安全事件(不管是哪种类型的威胁),往往需要多方面的信息,才能确认该安全事件的详细情况,如威胁源头、威胁频率、威胁横向扩展情况、威胁结果等。安全事件管理平台将通过安全场景自动化检测,结合原始事件的取证能力,关联展示证据链条,为用户提供所需的判断依据,从而提高用户威胁分析能力。
调查分析
针对可疑事件,可以通过日志易平台展开进一步调查分析,分析该事件的横向扩散情况,是否引发其他安全事件,结果是什么(正常事件还是异常事件?成功还是失败?)。
资产管理
进行威胁分析或者风险分析的前提是,先进行资产识别。而资产识别的关键在于对资产的全生命周期进行管理。日志易平台支持多种资产识别方式,可以针对新增资产、资产变更(版本变更、服务变更等)进行识别,在进行威胁分析时,可以提供准确且有关联的内部资产情报,帮助用户在大量的安全事件中划分好优先级。
漏洞中心
资产往往存在脆弱性,如果在威胁分析时,能同步结合威胁、资产以及漏洞的信息进行综合判断,将对事件的优先级进行有效判断,为正常输出的海量告警提供优先级指引。
产品特点
超大日志量 实时处理能力 
传统SIEM/SOC产品只能采集几百GB日志量/天,无法满足日益增长日志处理需求
日志易采用国产搜索引擎,每天可以处理十几TB日志量
 
灵活的安全数据中台
传统SIEM/SOC产品比较封闭,往往只能跟自己威胁情报对接,按照自身格式进行数据清洗
1.日志易对安全数据处理采用数据中台思路,不仅可以对接开源威胁情报,还可以对接商用威胁情报;
2.日志易可以根据第三方产品数据格式要求建立多条pipeline,将安全数据按照定制格式进行清洗,并主动推送到第三方平台,如kafka,hbase等
强大数据 分析能力
传统SIEM/SOC产品主要通过CEP完成外网攻击分析场景
1.日志易采用最新流式处理框架Flink实现CEP分析;
2.同时利用SPL强大的大分组,大时间跨度统计分析能力,结合白名单自学习功能为web层,主机层提供异常检测和合规分析能力
多模块无缝结合, 满足多个部门需求
传统SIEM/SOC产品主要通过安全分析能力满足安全部门的需求
1.日志易可以通过模块升级整合成集安全,运维,数据工厂,机器学习,大屏展示一体化的数据分析平台;
2.同一套数据,可以用于安全分析,也可以用于合规部门进行用户行为合规检查,也可以用于测试部门进行敏感用户信息扫描
功能项 其他SOC/SIEM 日志易功能优势 安全分析优势
用户权限管理 能进行简单功能(菜单栏)、数据权限限制 能实现功能、数据源、数据分析结果图表三层的权限管理 可以很好地满足不同部门、人员的细粒度权限控制需求,进行安全事件协同处理
日志收集 能对接流量、syslog,snmp,数据库 1.能对接nmon,netflow、流量
2.能采集linux,windows性能指标
3.能采集系统进程、脚本命令输出等需要的关键信息
4.能采集业务应用文本日志
能对接第三方组件,满足对接kafka、hdfs等数据源要求,能满足常态化安全分析需要,实现内网分析、外网分析、稽核分析、业务安全分析场景
安全场景 内置安全场景 1.内置200+条的UBA以及安全场景规则
2.具备深度快速灵活安全场景规则配置能力
在HW过程中可以响应要求快速制定安全场景,通过灵活的SPL语句便可实现多阶段(不同的攻击链阶段)多设备(上下游节点日志)的关联分析
搜索能力 基于开源ES组件, 提供关键字,短语,逻辑运算,数值运算搜索 独立自研,比ES有更好入库、搜索、内存控制能力,具备全文、正则、运算、逻辑查询能力 提供流式搜索,在统计大范围时间周期的数据量,集群不会出现OOM(out of memory) 如防火墙五元组统计分析涉及大量IP分组,使用基于ES产品统计很容易垮掉,日志易能稳定可靠完成统计分析需求
深度溯源分析 依靠关联规则进行关联匹配分析,但并无灵活的分析语句可供现场实时查询分析 除了可配置规则,进行关联分析,还提供完善的关联分析语法,比如二层、三层叠加统计,子查询,抖动预警,提供统计语法,如eval/stats/append/bucket/autoregress/fields/join/lookup/sort/transaction/map 等函数进行分析 可针对异常的事件逐层进行分析计算,如统计结果可传递给其他统计语句使用,确保安全事件的溯源分析思路都可落地。
对比分析 仅能进行实时分析,并无对比分析能力 可通过规则配置,将不同的时间段的数据进行比对,从中发现新的实体或用户 可基于实际环境,对日志进行分析,检测出
出现新的进程
出现新的文件
出现新的访问关系
出现新的账户
第三方数据灵活接入 对于如CMDB数据,漏洞报告或者其他第三方威胁情报源,需要进行定制开发,实现对接 无定制成本,支持直接读取数据源(CMDB/第三方威胁情报/漏洞报告),并将读取到的数据与原始日志,如告警事件,进行匹配分析。 能灵活与CMDB/漏洞信息/威胁情报进行关联分析,帮助安全运维人员更加快速定位异常的源头。
产品生态 具备标准设备产品解析规则,自定义展示图表 整合行业日志分析经验,包装主流厂商设备产品的100+Addons插件,包括网络、安全、业务应用、操作系统、系统进程、Audit日志,包括解析规则、分析场景、告警策略,实现即插即用快速交付 可实现对不同类型的安全设备/系统日志进行快速标准化,同时提供不同专项(防火墙、WAF、IPS、IDS、主机日志等)的仪表盘以及报表。
集成能力 基于ES开发的产品具备基础的Restful API功能 日志接入、搜索、统计、告警、用户管理具备丰富API(详细可查看API文档),可根据客户需要,快与客户工单、告警、ITSM等平台快速对接 能按照不同用户需求能快速响应与内部不同平台集成
利用OODA的战术思维来指引SIEM建设
观察
针对各类安全事件进行监测,以发现可疑威胁为目的。
确认 
对发现的可疑威胁进一步展开分析,判断是否属于真实威胁以及进一步的扩展趋势如何?
行动
根据决策内容,对威胁进行响应处置
决策
对分析的结果进行评估,主要为各类处置方案的影响,并选择一个/多个方案作为下一步的执行内容
功能架构
威胁的分类与检测分析流程
网络拓扑
基于Flink CEP的规则引擎
分析场景
负载均衡/WEB中间件日志

1.异常URL识别
2.CC攻击识别
3.无refer请求异常识别
4.扫描识别

系统日志

1.异常进程识别
2.异常连接识别
3.异常用户登录识别
4.异常命令识别

安全设备日志

1.从海量告警中定位出高威胁IP进行封堵
2.告警降噪
3.快速攻击溯源

用户行为日志

1.VPN异常登录识别
2.异常操作识别
3.僵死账号识别

业务日志

1.业务量突降监控,防止误封IP
2.接口异常请求识别
3.用户越权分析
4.敏感用户信息下载

防误封

1.自动关联CDN地址
2.自动关联微信网关地址
3.移动APP地址短期封堵

获取更多相关产品详解,立即咨询吧!

关注“云巴巴严选云”

帮您选云,买云,用云

关注“Yun88网”

了解最新技术,优质产品服务

关注“云巴巴”官方抖音号

人人都看得懂得云测评

  • 在线咨询
  • 电话咨询
  • 微信咨询
  • 免费试用