服务电话:400-0972-788
申请试用

首页 > 产品中心 > 安全事件管理平台

企业运营面临的主要问题
安全设备多 日常维护压力大
经过一段时间的安全建设,企业基本都建立起较为完善或初步的安全防御体系,在技术手段层面,其中会部署了一定数量的、多种类型的安全产品。如防火墙、WAF、IPS、NIDS、防病毒、邮件网关、HIDS等,并且各类安全产品相互孤立,由于安全管理人员精力有限,面对一整个安全防御体系中的安全产品的日常维护管理压力很大。
安全事件闭环处置进展 缓慢或者并无闭环处置
安全事件对应的资产往往需要独立再去资产库里面进行查询,同时资产上对应的漏洞也无从得知,在整个安全事件闭环管理上,安全管理人员容易出现大量未知的空白区,无法促使安全管理人员做出有效且快速的判断,实现对安全事件的处置。
日志量大,告警事件多 并无事件处置优先级之分
安全设备每天都会产生大量的日志,其中不乏大量的误报信息,而实际上安全运维人员每日处理的安全事件有限,可能导致关键的安全信息和告警被大量的无效告警淹没
 
 
安全现状不可见
面对庞大复杂的网络和业务系统,企业无从知晓自身的安全状态、安全建设效果、安全风险的变化情况,无法为不同层面的人员,如领导层、管理层和运维人员提供“可见”的报告来说明企业的安全问题和现状。
安全事件管理平台

日志易经过大量的安全日志分析项目实践,认为企业面临的威胁应该划分为三种:

已知威胁   即可以通过规则定义出来的威胁场景,也是专家经验固化的检测对象;

可疑威胁   即不能马上确认有问题,需要进一步展开调查分析的威胁;

未知威胁   即在认知之外的威胁,如果不是出现某个偶然事件,引起调查分析,就不能够被发现。

日志易安全事件管理平台,是兼具关联分析和异常分析能力的安全分析平台,全面支持各种威胁类型(已知威胁、可疑威胁以及未知威胁)的检测、分析与响应。平台基于日志易数据搜索引擎,通过流批处理计算框架,对企业的日志、流量数据进行深度关联,并结合资产信息、漏洞信息,进行威胁自动化响应处置,提高用户在安全运营方面的决策能力。
平台功能
威胁检测
一个安全事件(不管是哪种类型的威胁),往往需要多方面的信息,才能确认该安全事件的详细情况,如威胁源头、威胁频率、威胁横向扩展情况、威胁结果等。安全事件管理平台将通过安全场景自动化检测,结合原始事件的取证能力,关联展示证据链条,为用户提供所需的判断依据,从而提高用户威胁分析能力。
调查分析
针对可疑事件,可以通过日志易平台展开进一步调查分析,分析该事件的横向扩散情况,是否引发其他安全事件,结果是什么(正常事件还是异常事件?成功还是失败?)。
资产管理
进行威胁分析或者风险分析的前提是,先进行资产识别。而资产识别的关键在于对资产的全生命周期进行管理。日志易平台支持多种资产识别方式,可以针对新增资产、资产变更(版本变更、服务变更等)进行识别,在进行威胁分析时,可以提供准确且有关联的内部资产情报,帮助用户在大量的安全事件中划分好优先级。
漏洞中心
资产往往存在脆弱性,如果在威胁分析时,能同步结合威胁、资产以及漏洞的信息进行综合判断,将对事件的优先级进行有效判断,为正常输出的海量告警提供优先级指引。
产品特点
超大日志量 实时处理能力 
传统SIEM/SOC产品只能采集几百GB日志量/天,无法满足日益增长日志处理需求
日志易采用国产搜索引擎,每天可以处理十几TB日志量
 
灵活的安全数据中台
传统SIEM/SOC产品比较封闭,往往只能跟自己威胁情报对接,按照自身格式进行数据清洗
1.日志易对安全数据处理采用数据中台思路,不仅可以对接开源威胁情报,还可以对接商用威胁情报;
2.日志易可以根据第三方产品数据格式要求建立多条pipeline,将安全数据按照定制格式进行清洗,并主动推送到第三方平台,如kafka,hbase等
强大数据 分析能力
传统SIEM/SOC产品主要通过CEP完成外网攻击分析场景
1.日志易采用最新流式处理框架Flink实现CEP分析;
2.同时利用SPL强大的大分组,大时间跨度统计分析能力,结合白名单自学习功能为web层,主机层提供异常检测和合规分析能力
多模块无缝结合, 满足多个部门需求
传统SIEM/SOC产品主要通过安全分析能力满足安全部门的需求
1.日志易可以通过模块升级整合成集安全,运维,数据工厂,机器学习,大屏展示一体化的数据分析平台;
2.同一套数据,可以用于安全分析,也可以用于合规部门进行用户行为合规检查,也可以用于测试部门进行敏感用户信息扫描
功能项 其他SOC/SIEM 日志易功能优势 安全分析优势
用户权限管理 能进行简单功能(菜单栏)、数据权限限制 能实现功能、数据源、数据分析结果图表三层的权限管理 可以很好地满足不同部门、人员的细粒度权限控制需求,进行安全事件协同处理
日志收集 能对接流量、syslog,snmp,数据库 1.能对接nmon,netflow、流量
2.能采集linux,windows性能指标
3.能采集系统进程、脚本命令输出等需要的关键信息
4.能采集业务应用文本日志
能对接第三方组件,满足对接kafka、hdfs等数据源要求,能满足常态化安全分析需要,实现内网分析、外网分析、稽核分析、业务安全分析场景
安全场景 内置安全场景 1.内置200+条的UBA以及安全场景规则
2.具备深度快速灵活安全场景规则配置能力
在HW过程中可以响应要求快速制定安全场景,通过灵活的SPL语句便可实现多阶段(不同的攻击链阶段)多设备(上下游节点日志)的关联分析
搜索能力 基于开源ES组件, 提供关键字,短语,逻辑运算,数值运算搜索 独立自研,比ES有更好入库、搜索、内存控制能力,具备全文、正则、运算、逻辑查询能力 提供流式搜索,在统计大范围时间周期的数据量,集群不会出现OOM(out of memory) 如防火墙五元组统计分析涉及大量IP分组,使用基于ES产品统计很容易垮掉,日志易能稳定可靠完成统计分析需求
深度溯源分析 依靠关联规则进行关联匹配分析,但并无灵活的分析语句可供现场实时查询分析 除了可配置规则,进行关联分析,还提供完善的关联分析语法,比如二层、三层叠加统计,子查询,抖动预警,提供统计语法,如eval/stats/append/bucket/autoregress/fields/join/lookup/sort/transaction/map 等函数进行分析 可针对异常的事件逐层进行分析计算,如统计结果可传递给其他统计语句使用,确保安全事件的溯源分析思路都可落地。
对比分析 仅能进行实时分析,并无对比分析能力 可通过规则配置,将不同的时间段的数据进行比对,从中发现新的实体或用户 可基于实际环境,对日志进行分析,检测出
出现新的进程
出现新的文件
出现新的访问关系
出现新的账户
第三方数据灵活接入 对于如CMDB数据,漏洞报告或者其他第三方威胁情报源,需要进行定制开发,实现对接 无定制成本,支持直接读取数据源(CMDB/第三方威胁情报/漏洞报告),并将读取到的数据与原始日志,如告警事件,进行匹配分析。 能灵活与CMDB/漏洞信息/威胁情报进行关联分析,帮助安全运维人员更加快速定位异常的源头。
产品生态 具备标准设备产品解析规则,自定义展示图表 整合行业日志分析经验,包装主流厂商设备产品的100+Addons插件,包括网络、安全、业务应用、操作系统、系统进程、Audit日志,包括解析规则、分析场景、告警策略,实现即插即用快速交付 可实现对不同类型的安全设备/系统日志进行快速标准化,同时提供不同专项(防火墙、WAF、IPS、IDS、主机日志等)的仪表盘以及报表。
集成能力 基于ES开发的产品具备基础的Restful API功能 日志接入、搜索、统计、告警、用户管理具备丰富API(详细可查看API文档),可根据客户需要,快与客户工单、告警、ITSM等平台快速对接 能按照不同用户需求能快速响应与内部不同平台集成
利用OODA的战术思维来指引SIEM建设
观察
针对各类安全事件进行监测,以发现可疑威胁为目的。
确认 
对发现的可疑威胁进一步展开分析,判断是否属于真实威胁以及进一步的扩展趋势如何?
行动
根据决策内容,对威胁进行响应处置
决策
对分析的结果进行评估,主要为各类处置方案的影响,并选择一个/多个方案作为下一步的执行内容
功能架构
威胁的分类与检测分析流程
网络拓扑
基于Flink CEP的规则引擎
分析场景
负载均衡/WEB中间件日志

1.异常URL识别
2.CC攻击识别
3.无refer请求异常识别
4.扫描识别

系统日志

1.异常进程识别
2.异常连接识别
3.异常用户登录识别
4.异常命令识别

安全设备日志

1.从海量告警中定位出高威胁IP进行封堵
2.告警降噪
3.快速攻击溯源

用户行为日志

1.VPN异常登录识别
2.异常操作识别
3.僵死账号识别

业务日志

1.业务量突降监控,防止误封IP
2.接口异常请求识别
3.用户越权分析
4.敏感用户信息下载

防误封

1.自动关联CDN地址
2.自动关联微信网关地址
3.移动APP地址短期封堵

获取更多相关产品详解,立即咨询吧!

  • 在线咨询
  • 电话咨询
  • 微信咨询
  • 免费试用