大數(shù)據(jù)安全分析平臺(tái)
大數(shù)據(jù)安全分析平臺(tái) |
產(chǎn)品概述大數(shù)據(jù)安全分析平臺(tái)是安徽靈狐科技獨(dú)立研發(fā)的、擁有自主知識(shí)產(chǎn)權(quán)的新一代安全分析平臺(tái)。系統(tǒng)通過集中采集各類系統(tǒng)中的安全事件(如網(wǎng)絡(luò)攻擊、防病毒等)、用戶訪問記錄、系統(tǒng)運(yùn)行日志、系統(tǒng)運(yùn)行狀態(tài)、網(wǎng)絡(luò)存取日志等各類信息,經(jīng)過數(shù)據(jù)識(shí)別、數(shù)據(jù)處理和數(shù)據(jù)分析等處理后,以統(tǒng)一格式的展示并進(jìn)行集中存儲(chǔ)和管理。僅通過簡(jiǎn)潔的監(jiān)控界面,用戶即可實(shí)時(shí)動(dòng)態(tài)了解當(dāng)前整個(gè)系統(tǒng)的安全態(tài)勢(shì),獲知異常安全事件和審計(jì)違規(guī)情況,系統(tǒng)也提供了強(qiáng)大的安全異常問題分析追溯功能。
大數(shù)據(jù)安全分析平臺(tái)主要由如下幾個(gè)部分構(gòu)成: ● 數(shù)據(jù)源層:系統(tǒng)的數(shù)據(jù)來源,包括各類網(wǎng)絡(luò)設(shè)備,主機(jī)、安全設(shè)備、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)等能產(chǎn)生日志的設(shè)備或者信息系統(tǒng); ● 采集層:對(duì)各類數(shù)據(jù)進(jìn)行數(shù)據(jù)識(shí)別、數(shù)據(jù)處理;采集各類日志、安全數(shù)據(jù),如SMB、文件、數(shù)據(jù)庫(JDBC)等; ● 大數(shù)據(jù)計(jì)算層:對(duì)采集的數(shù)據(jù)進(jìn)行數(shù)據(jù)的提取、清洗、分析,實(shí)現(xiàn)了高性能、高壓縮和高可用,分片技術(shù)為大數(shù)據(jù)索引和搜索提供了有力支持,極大提高查詢和索引性能,便于業(yè)務(wù)層進(jìn)行大數(shù)據(jù)關(guān)聯(lián)、審計(jì)等安全分析; ● 大數(shù)據(jù)業(yè)務(wù)分析層:利用大數(shù)據(jù)分析引擎對(duì)大數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析、審計(jì)分析等,實(shí)時(shí)與專家經(jīng)驗(yàn)庫聯(lián)動(dòng),精準(zhǔn)分析,發(fā)現(xiàn)異常后實(shí)時(shí)告警; ● 展現(xiàn)層:是實(shí)現(xiàn)系統(tǒng)集中操作和管理的組件,提供圖形化的綜合展示界面。主要功能通過大數(shù)據(jù)安全分析平臺(tái),相關(guān)人員可以隨時(shí)了解整個(gè)系統(tǒng)的運(yùn)行情況,及時(shí)發(fā)現(xiàn)系統(tǒng)異常事件及非法訪問行為;通過事后分析和豐富的報(bào)表系統(tǒng),管理員可以方便高效地對(duì)信息系統(tǒng)進(jìn)行有針對(duì)性的安全審計(jì)。遇到特殊安全事件和系統(tǒng)故障,大數(shù)據(jù)安全分析平臺(tái)可以確保日志完整性和可用性,協(xié)助管理員進(jìn)行故障快速定位,并提供客觀依據(jù)進(jìn)行追查和恢復(fù)。
大數(shù)據(jù)安全分析平臺(tái)的主要功能如下: ● 采集配置:在接入各類日志和事件前,指定需要采集的目標(biāo)、接入方式以及相關(guān)參數(shù)(如數(shù)據(jù)庫的各種連接參數(shù))、選擇標(biāo)準(zhǔn)化的腳本和過濾及歸并策略; ● 數(shù)據(jù)識(shí)別:根據(jù)指定的標(biāo)準(zhǔn)化腳本,對(duì)相應(yīng)日志或事件進(jìn)行標(biāo)準(zhǔn)字段的映射; ● 數(shù)據(jù)處理:過濾和歸并的目的均是為了壓縮整體事件數(shù)量,而且利用過濾策略,用戶也可以將指定的事件轉(zhuǎn)發(fā)至需要的地方或?qū)κ录畔⒌南嚓P(guān)屬性進(jìn)行重新賦值; ● 數(shù)據(jù)分析:事件關(guān)聯(lián)分析和審計(jì)分析是大數(shù)據(jù)安全分析平臺(tái)的核心分析部分,它不僅可以綜合考量各種事件之間可能存在的關(guān)系,而且能夠?qū)κ录邢嚓P(guān)要素進(jìn)行分析;最終,事件分析和審計(jì)分析的結(jié)果均以告警的形式出現(xiàn)在系統(tǒng)中; ● 查詢和檢索:系統(tǒng)提供基礎(chǔ)、高級(jí)和基于搜索表達(dá)式的方式對(duì)原始事件進(jìn)行不同維度的查詢和檢索; ● 報(bào)表管理:系統(tǒng)提供豐富的報(bào)表,以滿足用戶不同的要求; ● 資產(chǎn)管理:大數(shù)據(jù)安全分析平臺(tái)提供資產(chǎn)管理模塊,以方便用戶對(duì)被管對(duì)象的管理; ● 知識(shí)庫管理:系統(tǒng)提供日志發(fā)送配置(即如何對(duì)各種系統(tǒng)進(jìn)行配置,以便正常采集日志)、安全事件知識(shí)、安全經(jīng)驗(yàn),對(duì)安全分析提供相應(yīng)的支撐; ● 系統(tǒng)管理:系統(tǒng)的自身管理,包括如用戶管理、日志管理、升級(jí)管理等功能。產(chǎn)品特色1、數(shù)據(jù)處理 為了對(duì)接收的日志數(shù)量進(jìn)行壓縮,大數(shù)據(jù)安全分析平臺(tái)還提供了過濾和歸并功能;其中,過濾功能不僅僅是丟棄那些覺得無用的日志,而且也可以將它們轉(zhuǎn)發(fā)到外部系統(tǒng)或?qū)Σ糠质录侄芜M(jìn)行重新填充。 2、四層分析模型
3、大數(shù)據(jù)分析 大數(shù)據(jù)安全分析平臺(tái)的事件分析功能是系統(tǒng)中的重要功能之一,對(duì)于分析所產(chǎn)生的結(jié)果將在關(guān)聯(lián)事件中呈現(xiàn),如果符合關(guān)聯(lián)策略,將以告警的形式在實(shí)時(shí)監(jiān)控模塊呈現(xiàn)給用戶,用戶可以對(duì)告警進(jìn)行相關(guān)的處理。
4、審計(jì)管理 大數(shù)據(jù)安全分析平臺(tái)的審計(jì)管理能是系統(tǒng)中的重要功能之一,審計(jì)管理側(cè)重于發(fā)現(xiàn)日志中相關(guān)要素是否和預(yù)定的審計(jì)策略相符,如時(shí)間、IP地址、人員、方式等,對(duì)于相符合的結(jié)果,系統(tǒng)將在審計(jì)事件中呈現(xiàn)給用戶,如果符合定制的審計(jì)策略,也會(huì)在實(shí)時(shí)監(jiān)控模塊以告警形式展現(xiàn)給用戶。 審計(jì)管理能夠方便的自定義審計(jì)人員、行為對(duì)象、審計(jì)類型、審計(jì)策略等基本配置;并能夠自定義審計(jì)策略模板,審計(jì)管理內(nèi)置了大量審計(jì)策略模板,涵蓋了常見的、對(duì)企業(yè)非常實(shí)用的審計(jì)策略模板,如主機(jī)、防火墻、數(shù)據(jù)庫、薩班斯審計(jì)策略模板等。 5、安全可視化
部署方式 ● 單機(jī)部署
● 采集機(jī)分布式部署
● 集群部署
|