日志易安全事件管理平台-云巴巴 -云巴巴

安全事件管理平台

日志易安全事件管理平台，是兼具关联分析和异常分析能力的安全分析平台，全面支持各种威胁类型（已知威胁、可疑威胁以及未知威胁）的检测、分析与响应。平台基于日志易数据搜索引擎，通过流批处理计算框架，对企业的日志、流量数据进行深度关联，并结合资产信息、漏洞信息，

立即咨询

企业运营面临的主要问题

安全设备多日常维护压力大

经过一段时间的安全建设，企业基本都建立起较为完善或初步的安全防御体系，在技术手段层面，其中会部署了一定数量的、多种类型的安全产品。如防火墙、WAF、IPS、NIDS、防病毒、邮件网关、HIDS等，并且各类安全产品相互孤立，由于安全管理人员精力有限，面对一整个安全防御体系中的安全产品的日常维护管理压力很大。

安全事件闭环处置进展缓慢或者并无闭环处置

安全事件对应的资产往往需要独立再去资产库里面进行查询，同时资产上对应的漏洞也无从得知，在整个安全事件闭环管理上，安全管理人员容易出现大量未知的空白区，无法促使安全管理人员做出有效且快速的判断，实现对安全事件的处置。

日志量大，告警事件多并无事件处置优先级之分

安全设备每天都会产生大量的日志，其中不乏大量的误报信息，而实际上安全运维人员每日处理的安全事件有限，可能导致关键的安全信息和告警被大量的无效告警淹没

安全现状不可见

面对庞大复杂的网络和业务系统，企业无从知晓自身的安全状态、安全建设效果、安全风险的变化情况，无法为不同层面的人员，如领导层、管理层和运维人员提供“可见”的报告来说明企业的安全问题和现状。

安全事件管理平台

日志易经过大量的安全日志分析项目实践，认为企业面临的威胁应该划分为三种：

已知威胁 即可以通过规则定义出来的威胁场景，也是专家经验固化的检测对象；

可疑威胁 即不能马上确认有问题，需要进一步展开调查分析的威胁；

未知威胁 即在认知之外的威胁，如果不是出现某个偶然事件，引起调查分析，就不能够被发现。

日志易安全事件管理平台，是兼具关联分析和异常分析能力的安全分析平台，全面支持各种威胁类型（已知威胁、可疑威胁以及未知威胁）的检测、分析与响应。平台基于日志易数据搜索引擎，通过流批处理计算框架，对企业的日志、流量数据进行深度关联，并结合资产信息、漏洞信息，进行威胁自动化响应处置，提高用户在安全运营方面的决策能力。

平台功能

威胁检测

一个安全事件（不管是哪种类型的威胁），往往需要多方面的信息，才能确认该安全事件的详细情况，如威胁源头、威胁频率、威胁横向扩展情况、威胁结果等。安全事件管理平台将通过安全场景自动化检测，结合原始事件的取证能力，关联展示证据链条，为用户提供所需的判断依据，从而提高用户威胁分析能力。

调查分析

针对可疑事件，可以通过日志易平台展开进一步调查分析，分析该事件的横向扩散情况，是否引发其他安全事件，结果是什么（正常事件还是异常事件？成功还是失败？）。

资产管理

进行威胁分析或者风险分析的前提是，先进行资产识别。而资产识别的关键在于对资产的全生命周期进行管理。日志易平台支持多种资产识别方式，可以针对新增资产、资产变更（版本变更、服务变更等）进行识别，在进行威胁分析时，可以提供准确且有关联的内部资产情报，帮助用户在大量的安全事件中划分好优先级。

漏洞中心

资产往往存在脆弱性，如果在威胁分析时，能同步结合威胁、资产以及漏洞的信息进行综合判断，将对事件的优先级进行有效判断，为正常输出的海量告警提供优先级指引。

产品特点

超大日志量实时处理能力

传统SIEM/SOC产品只能采集几百GB日志量/天，无法满足日益增长日志处理需求

日志易采用国产搜索引擎，每天可以处理十几TB日志量

灵活的安全数据中台

传统SIEM/SOC产品比较封闭，往往只能跟自己威胁情报对接，按照自身格式进行数据清洗

1.日志易对安全数据处理采用数据中台思路，不仅可以对接开源威胁情报，还可以对接商用威胁情报；
2.日志易可以根据第三方产品数据格式要求建立多条pipeline，将安全数据按照定制格式进行清洗，并主动推送到第三方平台，如kafka，hbase等

强大数据分析能力

传统SIEM/SOC产品主要通过CEP完成外网攻击分析场景

1.日志易采用最新流式处理框架Flink实现CEP分析；
2.同时利用SPL强大的大分组，大时间跨度统计分析能力，结合白名单自学习功能为web层，主机层提供异常检测和合规分析能力

多模块无缝结合，满足多个部门需求

传统SIEM/SOC产品主要通过安全分析能力满足安全部门的需求

1.日志易可以通过模块升级整合成集安全，运维，数据工厂，机器学习，大屏展示一体化的数据分析平台；
2.同一套数据，可以用于安全分析，也可以用于合规部门进行用户行为合规检查，也可以用于测试部门进行敏感用户信息扫描

功能项	其他SOC/SIEM	日志易功能优势	安全分析优势
用户权限管理	能进行简单功能（菜单栏）、数据权限限制	能实现功能、数据源、数据分析结果图表三层的权限管理	可以很好地满足不同部门、人员的细粒度权限控制需求，进行安全事件协同处理
日志收集	能对接流量、syslog，snmp，数据库	1.能对接nmon，netflow、流量 2.能采集linux，windows性能指标 3.能采集系统进程、脚本命令输出等需要的关键信息 4.能采集业务应用文本日志	能对接第三方组件，满足对接kafka、hdfs等数据源要求，能满足常态化安全分析需要，实现内网分析、外网分析、稽核分析、业务安全分析场景
安全场景	内置安全场景	1.内置200+条的UBA以及安全场景规则 2.具备深度快速灵活安全场景规则配置能力	在HW过程中可以响应要求快速制定安全场景，通过灵活的SPL语句便可实现多阶段（不同的攻击链阶段）多设备（上下游节点日志）的关联分析
搜索能力	基于开源ES组件, 提供关键字，短语，逻辑运算，数值运算搜索	独立自研，比ES有更好入库、搜索、内存控制能力，具备全文、正则、运算、逻辑查询能力提供流式搜索，在统计大范围时间周期的数据量，集群不会出现OOM（out of memory）	如防火墙五元组统计分析涉及大量IP分组，使用基于ES产品统计很容易垮掉，日志易能稳定可靠完成统计分析需求
深度溯源分析	依靠关联规则进行关联匹配分析，但并无灵活的分析语句可供现场实时查询分析	除了可配置规则，进行关联分析，还提供完善的关联分析语法，比如二层、三层叠加统计，子查询，抖动预警，提供统计语法，如eval/stats/append/bucket/autoregress/fields/join/lookup/sort/transaction/map 等函数进行分析	可针对异常的事件逐层进行分析计算，如统计结果可传递给其他统计语句使用，确保安全事件的溯源分析思路都可落地。
对比分析	仅能进行实时分析，并无对比分析能力	可通过规则配置，将不同的时间段的数据进行比对，从中发现新的实体或用户	可基于实际环境，对日志进行分析，检测出出现新的进程出现新的文件出现新的访问关系出现新的账户
第三方数据灵活接入	对于如CMDB数据，漏洞报告或者其他第三方威胁情报源，需要进行定制开发，实现对接	无定制成本，支持直接读取数据源（CMDB/第三方威胁情报/漏洞报告），并将读取到的数据与原始日志，如告警事件，进行匹配分析。	能灵活与CMDB/漏洞信息/威胁情报进行关联分析，帮助安全运维人员更加快速定位异常的源头。
产品生态	具备标准设备产品解析规则，自定义展示图表	整合行业日志分析经验，包装主流厂商设备产品的100+Addons插件，包括网络、安全、业务应用、操作系统、系统进程、Audit日志，包括解析规则、分析场景、告警策略，实现即插即用快速交付	可实现对不同类型的安全设备/系统日志进行快速标准化，同时提供不同专项（防火墙、WAF、IPS、IDS、主机日志等）的仪表盘以及报表。
集成能力	基于ES开发的产品具备基础的Restful API功能	日志接入、搜索、统计、告警、用户管理具备丰富API（详细可查看API文档），可根据客户需要，快与客户工单、告警、ITSM等平台快速对接	能按照不同用户需求能快速响应与内部不同平台集成