×
无惧寒冬,守护安全|日志易安全专家组获化工集团致谢

中国化工集团有限公司是经国务院批准的国有大型企业,是中国最大的基础化学制造企业,也是世界 500 强企业,目前已在全球 140 个国家和地区拥有生产、研发基地,并有完善的营销网络体系。感谢化工集团对日志易的认可与希冀,我们一定会再接再厉,为网络安全和国家安全添砖加瓦!

作为国产网络安全的先锋、企业智慧转型的强力实践者,日志易目前已帮助多家客户搭建了完善的SIEM平台。

图片

日志易 SIEM 威胁检测、分析与响应平台              

日志易威胁检测、分析与响应平台,是兼具关联分析和异常分析能力的安全分析平台,全面支持各种威胁类型(已知威胁、可疑威胁以及未知威胁)的检测、分析与响应。平台基于日志易数据搜索引擎,通过流批处理计算框架,对企业的日志、流量数据进行深度关联,并结合资产信息、漏洞信息,进行威胁自动化响应处置,提高用户在安全运营方面的决策能力。

图片
日志易 · SIEM平台逻辑架构

平台功能

全面日志采集

百万级EPS日志流处理,PB级日志秒级溯源跟踪。

威胁检测

内置WEB安全、主机安全、合规审计等8大类常见的复杂事件处理检测规则。

流量异常检测(NTA)

对主流的应用、网络协议进行采集和解析,还原流量数据进行溯源取证,并可对流量中的攻击行为进行检测。

端点事件分析取证

结合Linux、Windows系统日志,分析其进程、账号登录、命令执行等事件,发现异常行为。

调查取证

将威胁告警和异常事件映射到时间维度,分析事件的前因后果。对攻击链进行溯源,通过关联分析发现横向扩展的行为。

任务管理

内置工单系统,并可灵活对接用户环境的工单系统,形成安全事件处置闭环和协同。

流程编排及自动化响应

全界面化Playbook编排,通过API与各类安全设备、系统联动,根据规则自动匹配Playbook,自动响应处置。

威胁情报对接

对接开源、商用威胁情报库,并与威胁告警进行关联,进一步提高威胁告警准确度。

漏洞平台对接

对接开源、商用漏洞平台,对误报进行白名单处理,对低危漏洞或不关注的漏洞进行自动忽略或修复。

资产管理

通过对接CMDB、日志提取、批量导入、自发现等方式,自动感知全网资产的动态变化,为威胁告警补全资产信息。

多数据管道分发保障

将同一数据来源ETL成不同数据格式,通过多数据管道将格式化日志分发到不同目的源。

态势感知大屏

通过日志易大屏Galaxee产品,将全网实时安全状态集中展现到安全管理人员面前。

平台优势

  • 强大的日志及流量采集能力

具备独立的日志以及流量的采集能力,支持对国内外主流安全设备、网络设备、中间件、数据库、系统日志的采集,支持开箱即用的数据解析规则,具备流量采集探针(日志易NTA),支持对主流的应用、网络协议进行采集和解析,同时兼容容器化、微服务等新型技术。

  • 自主研发、安全可控的底层搜索引擎

支持SPL(Search Processing Language)搜索功能,能较快地对数据进行与或非以及关键字查询过滤,并可通过各类函数、指令,对数据进行灵活统计和计算,擅长数据统计分析和挖掘。

  • 内置1000+安全场景规则

这些规则覆盖了UBA、WEB安全、网络安全、数据安全、合规、多场景关联分析、对比分析、时序分析等,支持按照固定格式自定义安全规则。

  • 内置120+APP(不断增加)

通过APP,可针对国内外主流品牌的数据源:安全设备、网络设备、中间件、数据库、系统日志等,提供开箱即用的仪表盘、解析规则、分析场景、告警策略,实现即插即用、快速交付。

  • 实时流式计算框架

支持根据不同的安全场景(聚合、关联等),实时对数据进行分析、计算,支持分布式部署。

  • 灵活的关联分析、对比分析

通过定时监控以及SPL功能,能对任意时间段的历史数据进行对比分析,并能灵活对比不同时间/种类的数据,比如新的进程、新的账户、新的访问关系等,从而发现异常。

  • 对接第三方威胁情报、漏洞库

支持直接读取数据源(CMDB、第三方威胁情报漏洞),并将读取到的数据(如资产信息、告警事件、漏洞信息)与原始日志进行匹配分析。

  • 打破企业数据孤岛

日志易可通过数据工厂管道,快速对接数十种大数据平台、流式数据平台、关系型数据平台、接口服务,而不仅仅是作为数据终端,可灵活从Kafka、ES、Hadoop等平台取数和供数,打通企业数据流,实现数据全生命周期管理。

  • 丰富的可视化能力

提供趋势、散点等数十种常用可视化图表功能,可自定义安全态势感知大屏。

  • 机器学习能力

内置回归、预处理、时间预测、分类、聚类等五大类数十种主流机器学习算法,用于检测内部用户及实体异常。并提供可视化算法训练平台及算法效果可视化评估。

应用案例

某股份制商业银行借助日志易威胁检测、分析与响应平台,实现了对进程、文件、账户、访问等各类可疑事件的实时检测、预警、分析。

项目实现效果:

  • 持续监控已知威胁场景针对二十多类场景进行监控处置,每天封禁确认攻击事件约100+ 。
  • 着重分析可疑事件发现多个新的进程,例如发现业务变更导致可疑进程出现,侧面验证新进程发现的效果。
  • 深入调查可疑横向移动通过定义内部的访问关系对(固定,白名单),当出现新的访问关系对时,则发现异常,再对主机事件进行进一步分析。
图片
日志易 · 威胁场景定义

联系我们


如果希望了解更多威胁检测、分析与响应平台的功能及案例场景,欢迎拨打400-085-0159,或发送邮件至contact@yottabyte.cn,我们将第一时间安排安全专家,为您讲解和咨询。更多技术干货,请扫描下方二维码进入微信交流群!

无惧寒冬,守护安全|日志易安全专家组获化工集团致谢

中国化工集团有限公司是经国务院批准的国有大型企业,是中国最大的基础化学制造企业,也是世界 500 强企业,目前已在全球 140 个国家和地区拥有生产、研发基地,并有完善的营销网络体系。感谢化工集团对日志易的认可与希冀,我们一定会再接再厉,为网络安全和国家安全添砖加瓦!

作为国产网络安全的先锋、企业智慧转型的强力实践者,日志易目前已帮助多家客户搭建了完善的SIEM平台。

图片

日志易 SIEM 威胁检测、分析与响应平台              

日志易威胁检测、分析与响应平台,是兼具关联分析和异常分析能力的安全分析平台,全面支持各种威胁类型(已知威胁、可疑威胁以及未知威胁)的检测、分析与响应。平台基于日志易数据搜索引擎,通过流批处理计算框架,对企业的日志、流量数据进行深度关联,并结合资产信息、漏洞信息,进行威胁自动化响应处置,提高用户在安全运营方面的决策能力。

图片
日志易 · SIEM平台逻辑架构

平台功能

全面日志采集

百万级EPS日志流处理,PB级日志秒级溯源跟踪。

威胁检测

内置WEB安全、主机安全、合规审计等8大类常见的复杂事件处理检测规则。

流量异常检测(NTA)

对主流的应用、网络协议进行采集和解析,还原流量数据进行溯源取证,并可对流量中的攻击行为进行检测。

端点事件分析取证

结合Linux、Windows系统日志,分析其进程、账号登录、命令执行等事件,发现异常行为。

调查取证

将威胁告警和异常事件映射到时间维度,分析事件的前因后果。对攻击链进行溯源,通过关联分析发现横向扩展的行为。

任务管理

内置工单系统,并可灵活对接用户环境的工单系统,形成安全事件处置闭环和协同。

流程编排及自动化响应

全界面化Playbook编排,通过API与各类安全设备、系统联动,根据规则自动匹配Playbook,自动响应处置。

威胁情报对接

对接开源、商用威胁情报库,并与威胁告警进行关联,进一步提高威胁告警准确度。

漏洞平台对接

对接开源、商用漏洞平台,对误报进行白名单处理,对低危漏洞或不关注的漏洞进行自动忽略或修复。

资产管理

通过对接CMDB、日志提取、批量导入、自发现等方式,自动感知全网资产的动态变化,为威胁告警补全资产信息。

多数据管道分发保障

将同一数据来源ETL成不同数据格式,通过多数据管道将格式化日志分发到不同目的源。

态势感知大屏

通过日志易大屏Galaxee产品,将全网实时安全状态集中展现到安全管理人员面前。

平台优势

  • 强大的日志及流量采集能力

具备独立的日志以及流量的采集能力,支持对国内外主流安全设备、网络设备、中间件、数据库、系统日志的采集,支持开箱即用的数据解析规则,具备流量采集探针(日志易NTA),支持对主流的应用、网络协议进行采集和解析,同时兼容容器化、微服务等新型技术。

  • 自主研发、安全可控的底层搜索引擎

支持SPL(Search Processing Language)搜索功能,能较快地对数据进行与或非以及关键字查询过滤,并可通过各类函数、指令,对数据进行灵活统计和计算,擅长数据统计分析和挖掘。

  • 内置1000+安全场景规则

这些规则覆盖了UBA、WEB安全、网络安全、数据安全、合规、多场景关联分析、对比分析、时序分析等,支持按照固定格式自定义安全规则。

  • 内置120+APP(不断增加)

通过APP,可针对国内外主流品牌的数据源:安全设备、网络设备、中间件、数据库、系统日志等,提供开箱即用的仪表盘、解析规则、分析场景、告警策略,实现即插即用、快速交付。

  • 实时流式计算框架

支持根据不同的安全场景(聚合、关联等),实时对数据进行分析、计算,支持分布式部署。

  • 灵活的关联分析、对比分析

通过定时监控以及SPL功能,能对任意时间段的历史数据进行对比分析,并能灵活对比不同时间/种类的数据,比如新的进程、新的账户、新的访问关系等,从而发现异常。

  • 对接第三方威胁情报、漏洞库

支持直接读取数据源(CMDB、第三方威胁情报漏洞),并将读取到的数据(如资产信息、告警事件、漏洞信息)与原始日志进行匹配分析。

  • 打破企业数据孤岛

日志易可通过数据工厂管道,快速对接数十种大数据平台、流式数据平台、关系型数据平台、接口服务,而不仅仅是作为数据终端,可灵活从Kafka、ES、Hadoop等平台取数和供数,打通企业数据流,实现数据全生命周期管理。

  • 丰富的可视化能力

提供趋势、散点等数十种常用可视化图表功能,可自定义安全态势感知大屏。

  • 机器学习能力

内置回归、预处理、时间预测、分类、聚类等五大类数十种主流机器学习算法,用于检测内部用户及实体异常。并提供可视化算法训练平台及算法效果可视化评估。

应用案例

某股份制商业银行借助日志易威胁检测、分析与响应平台,实现了对进程、文件、账户、访问等各类可疑事件的实时检测、预警、分析。

项目实现效果:

  • 持续监控已知威胁场景针对二十多类场景进行监控处置,每天封禁确认攻击事件约100+ 。
  • 着重分析可疑事件发现多个新的进程,例如发现业务变更导致可疑进程出现,侧面验证新进程发现的效果。
  • 深入调查可疑横向移动通过定义内部的访问关系对(固定,白名单),当出现新的访问关系对时,则发现异常,再对主机事件进行进一步分析。
图片
日志易 · 威胁场景定义

联系我们


如果希望了解更多威胁检测、分析与响应平台的功能及案例场景,欢迎拨打400-085-0159,或发送邮件至contact@yottabyte.cn,我们将第一时间安排安全专家,为您讲解和咨询。更多技术干货,请扫描下方二维码进入微信交流群!