contact@yottabyte.cn
400-085-0159
调查问卷

安全事件管理平台

日志易经过大量的安全日志分析项目实践,

认为企业面临的威胁应该划分为三种:

已知威胁   即可以通过规则定义出来的威胁场景,

也是专家经验固化的检测对象;

可疑威胁   即不能马上确认有问题,需要进一步

展开调查分析的威胁;

未知威胁   即在认知之外的威胁,如果不是出

现某个偶然事件,引起调查分析,就不能够被发

现。

日志易安全事件管理平台,是兼具关联分析和异常分析能力的安全分析平台,全面支持各种威胁类型(已知威胁、可疑威胁以及未知威胁)的检测、分析与响应。平台基于日志易数据搜索引擎,通过流批处理计算框架,对企业的日志、流量数据进行深度关联,并结合资产信息、漏洞信息,进行威胁自动化响应处置,提高用户在安全运营方面的决策能力。

平台功能

一个安全事件(不管是哪种类型的威胁),往往需要多方面的信息,才能确认该安全事件的详细情况,如威胁源头、威胁频率、威胁横向扩展情况、威胁结果等。安全事件管理平台将通过安全场景自动化检测,结合原始事件的取证能力,关联展示证据链条,为用户提供所需的判断依据,从而提高用户威胁分析能力。

针对可疑事件,可以通过日志易平台展开进一步调查分析,分析该事件的横向扩散情况,是否引发其他安全事件,结果是什么(正常事件还是异常事件?成功还是失败?)。

进行威胁分析或者风险分析的前提是,先进行资产识别。而资产识别的关键在于对资产的全生命周期进行管理。日志易平台支持多种资产识别方式,可以针对新增资产、资产变更(版本变更、服务变更等)进行识别,在进行威胁分析时,可以提供准确且有关联的内部资产情报,帮助用户在大量的安全事件中划分好优先级。

资产往往存在脆弱性,如果在威胁分析时,能同步结合威胁、资产以及漏洞的信息进行综合判断,将对事件的优先级进行有效判断,为正常输出的海量告警提供优先级指引。

平台特点

                      结合自动化检测规则,发现异常事件,

                      如新出现的文件、新出现的进程、新

                      出现的用户

异常事件检测

                        可通过控制数据权限,多角色参与安

                        全事件的处置,实现安全事件的闭环

                        管理,提高闭环处置效率

详细用户分权

                    通过利用威胁影响的资产,资产存在的

                    漏洞以及威胁利用的漏洞,三方面的关

                    系,形成威胁风险的关系维度。可指引

                    用户更好地对安全事件进行优先级高低

                    处置

威胁、漏洞以及资产关联

您是否希望与日志易产品专家交流?