×
《日志管理实践调查报告》重磅发布(附下载链接)
无惧寒冬,守护安全|日志易安全专家组获化工集团致谢

中国化工集团有限公司是经国务院批准的国有大型企业,是中国最大的基础化学制造企业,也是世界 500 强企业,目前已在全球 140 个国家和地区拥有生产、研发基地,并有完善的营销网络体系。感谢化工集团对日志易的认可与希冀,我们一定会再接再厉,为网络安全和国家安全添砖加瓦!

作为国产网络安全的先锋、企业智慧转型的强力实践者,日志易目前已帮助多家客户搭建了完善的SIEM平台。

图片

日志易 SIEM 威胁检测、分析与响应平台              

日志易威胁检测、分析与响应平台,是兼具关联分析和异常分析能力的安全分析平台,全面支持各种威胁类型(已知威胁、可疑威胁以及未知威胁)的检测、分析与响应。平台基于日志易数据搜索引擎,通过流批处理计算框架,对企业的日志、流量数据进行深度关联,并结合资产信息、漏洞信息,进行威胁自动化响应处置,提高用户在安全运营方面的决策能力。

图片
日志易 · SIEM平台逻辑架构

平台功能

全面日志采集

百万级EPS日志流处理,PB级日志秒级溯源跟踪。

威胁检测

内置WEB安全、主机安全、合规审计等8大类常见的复杂事件处理检测规则。

流量异常检测(NTA)

对主流的应用、网络协议进行采集和解析,还原流量数据进行溯源取证,并可对流量中的攻击行为进行检测。

端点事件分析取证

结合Linux、Windows系统日志,分析其进程、账号登录、命令执行等事件,发现异常行为。

调查取证

将威胁告警和异常事件映射到时间维度,分析事件的前因后果。对攻击链进行溯源,通过关联分析发现横向扩展的行为。

任务管理

内置工单系统,并可灵活对接用户环境的工单系统,形成安全事件处置闭环和协同。

流程编排及自动化响应

全界面化Playbook编排,通过API与各类安全设备、系统联动,根据规则自动匹配Playbook,自动响应处置。

威胁情报对接

对接开源、商用威胁情报库,并与威胁告警进行关联,进一步提高威胁告警准确度。

漏洞平台对接

对接开源、商用漏洞平台,对误报进行白名单处理,对低危漏洞或不关注的漏洞进行自动忽略或修复。

资产管理

通过对接CMDB、日志提取、批量导入、自发现等方式,自动感知全网资产的动态变化,为威胁告警补全资产信息。

多数据管道分发保障

将同一数据来源ETL成不同数据格式,通过多数据管道将格式化日志分发到不同目的源。

态势感知大屏

通过日志易大屏Galaxee产品,将全网实时安全状态集中展现到安全管理人员面前。

平台优势

  • 强大的日志及流量采集能力

具备独立的日志以及流量的采集能力,支持对国内外主流安全设备、网络设备、中间件、数据库、系统日志的采集,支持开箱即用的数据解析规则,具备流量采集探针(日志易NTA),支持对主流的应用、网络协议进行采集和解析,同时兼容容器化、微服务等新型技术。

  • 自主研发、安全可控的底层搜索引擎

支持SPL(Search Processing Language)搜索功能,能较快地对数据进行与或非以及关键字查询过滤,并可通过各类函数、指令,对数据进行灵活统计和计算,擅长数据统计分析和挖掘。

  • 内置1000+安全场景规则

这些规则覆盖了UBA、WEB安全、网络安全、数据安全、合规、多场景关联分析、对比分析、时序分析等,支持按照固定格式自定义安全规则。

  • 内置120+APP(不断增加)

通过APP,可针对国内外主流品牌的数据源:安全设备、网络设备、中间件、数据库、系统日志等,提供开箱即用的仪表盘、解析规则、分析场景、告警策略,实现即插即用、快速交付。

  • 实时流式计算框架

支持根据不同的安全场景(聚合、关联等),实时对数据进行分析、计算,支持分布式部署。

  • 灵活的关联分析、对比分析

通过定时监控以及SPL功能,能对任意时间段的历史数据进行对比分析,并能灵活对比不同时间/种类的数据,比如新的进程、新的账户、新的访问关系等,从而发现异常。

  • 对接第三方威胁情报、漏洞库

支持直接读取数据源(CMDB、第三方威胁情报漏洞),并将读取到的数据(如资产信息、告警事件、漏洞信息)与原始日志进行匹配分析。

  • 打破企业数据孤岛

日志易可通过数据工厂管道,快速对接数十种大数据平台、流式数据平台、关系型数据平台、接口服务,而不仅仅是作为数据终端,可灵活从Kafka、ES、Hadoop等平台取数和供数,打通企业数据流,实现数据全生命周期管理。

  • 丰富的可视化能力

提供趋势、散点等数十种常用可视化图表功能,可自定义安全态势感知大屏。

  • 机器学习能力

内置回归、预处理、时间预测、分类、聚类等五大类数十种主流机器学习算法,用于检测内部用户及实体异常。并提供可视化算法训练平台及算法效果可视化评估。

应用案例

某股份制商业银行借助日志易威胁检测、分析与响应平台,实现了对进程、文件、账户、访问等各类可疑事件的实时检测、预警、分析。

项目实现效果:

  • 持续监控已知威胁场景针对二十多类场景进行监控处置,每天封禁确认攻击事件约100+ 。
  • 着重分析可疑事件发现多个新的进程,例如发现业务变更导致可疑进程出现,侧面验证新进程发现的效果。
  • 深入调查可疑横向移动通过定义内部的访问关系对(固定,白名单),当出现新的访问关系对时,则发现异常,再对主机事件进行进一步分析。
图片
日志易 · 威胁场景定义

联系我们


如果希望了解更多威胁检测、分析与响应平台的功能及案例场景,欢迎拨打400-085-0159,或发送邮件至contact@yottabyte.cn,我们将第一时间安排安全专家,为您讲解和咨询。更多技术干货,请扫描下方二维码进入微信交流群!

首页
产品
智能日志中心 SIEM安全大数据分析平台 日志易LAS 日志审计一体机 观察易 智能运维 数据工厂 日志易大屏
解决方案
场景
统一日志管理 运维监控分析 业务链路追踪 安全事件分析 实时业务分析 等保日志审计
行业
金融 运营商 电力能源 轨道交通 医疗卫生
App
操作系统 数据库 中间件 网络设备 安全设备 服务器
成功案例
农信银 大家保险 甘肃银行 广发证券 平安好学
合作伙伴
合作伙伴概览 认证培训申请 报备政策介绍 伙伴资源中心 合作伙伴成功 申请加入伙伴
资源中心
产品使用视频 E-Books 日志易书籍 日志学院 日志易大讲堂 社区
公司
公司介绍 公司动态 工作机会
无惧寒冬,守护安全|日志易安全专家组获化工集团致谢

中国化工集团有限公司是经国务院批准的国有大型企业,是中国最大的基础化学制造企业,也是世界 500 强企业,目前已在全球 140 个国家和地区拥有生产、研发基地,并有完善的营销网络体系。感谢化工集团对日志易的认可与希冀,我们一定会再接再厉,为网络安全和国家安全添砖加瓦!

作为国产网络安全的先锋、企业智慧转型的强力实践者,日志易目前已帮助多家客户搭建了完善的SIEM平台。

图片

日志易 SIEM 威胁检测、分析与响应平台              

日志易威胁检测、分析与响应平台,是兼具关联分析和异常分析能力的安全分析平台,全面支持各种威胁类型(已知威胁、可疑威胁以及未知威胁)的检测、分析与响应。平台基于日志易数据搜索引擎,通过流批处理计算框架,对企业的日志、流量数据进行深度关联,并结合资产信息、漏洞信息,进行威胁自动化响应处置,提高用户在安全运营方面的决策能力。

图片
日志易 · SIEM平台逻辑架构

平台功能

全面日志采集

百万级EPS日志流处理,PB级日志秒级溯源跟踪。

威胁检测

内置WEB安全、主机安全、合规审计等8大类常见的复杂事件处理检测规则。

流量异常检测(NTA)

对主流的应用、网络协议进行采集和解析,还原流量数据进行溯源取证,并可对流量中的攻击行为进行检测。

端点事件分析取证

结合Linux、Windows系统日志,分析其进程、账号登录、命令执行等事件,发现异常行为。

调查取证

将威胁告警和异常事件映射到时间维度,分析事件的前因后果。对攻击链进行溯源,通过关联分析发现横向扩展的行为。

任务管理

内置工单系统,并可灵活对接用户环境的工单系统,形成安全事件处置闭环和协同。

流程编排及自动化响应

全界面化Playbook编排,通过API与各类安全设备、系统联动,根据规则自动匹配Playbook,自动响应处置。

威胁情报对接

对接开源、商用威胁情报库,并与威胁告警进行关联,进一步提高威胁告警准确度。

漏洞平台对接

对接开源、商用漏洞平台,对误报进行白名单处理,对低危漏洞或不关注的漏洞进行自动忽略或修复。

资产管理

通过对接CMDB、日志提取、批量导入、自发现等方式,自动感知全网资产的动态变化,为威胁告警补全资产信息。

多数据管道分发保障

将同一数据来源ETL成不同数据格式,通过多数据管道将格式化日志分发到不同目的源。

态势感知大屏

通过日志易大屏Galaxee产品,将全网实时安全状态集中展现到安全管理人员面前。

平台优势

  • 强大的日志及流量采集能力

具备独立的日志以及流量的采集能力,支持对国内外主流安全设备、网络设备、中间件、数据库、系统日志的采集,支持开箱即用的数据解析规则,具备流量采集探针(日志易NTA),支持对主流的应用、网络协议进行采集和解析,同时兼容容器化、微服务等新型技术。

  • 自主研发、安全可控的底层搜索引擎

支持SPL(Search Processing Language)搜索功能,能较快地对数据进行与或非以及关键字查询过滤,并可通过各类函数、指令,对数据进行灵活统计和计算,擅长数据统计分析和挖掘。

  • 内置1000+安全场景规则

这些规则覆盖了UBA、WEB安全、网络安全、数据安全、合规、多场景关联分析、对比分析、时序分析等,支持按照固定格式自定义安全规则。

  • 内置120+APP(不断增加)

通过APP,可针对国内外主流品牌的数据源:安全设备、网络设备、中间件、数据库、系统日志等,提供开箱即用的仪表盘、解析规则、分析场景、告警策略,实现即插即用、快速交付。

  • 实时流式计算框架

支持根据不同的安全场景(聚合、关联等),实时对数据进行分析、计算,支持分布式部署。

  • 灵活的关联分析、对比分析

通过定时监控以及SPL功能,能对任意时间段的历史数据进行对比分析,并能灵活对比不同时间/种类的数据,比如新的进程、新的账户、新的访问关系等,从而发现异常。

  • 对接第三方威胁情报、漏洞库

支持直接读取数据源(CMDB、第三方威胁情报漏洞),并将读取到的数据(如资产信息、告警事件、漏洞信息)与原始日志进行匹配分析。

  • 打破企业数据孤岛

日志易可通过数据工厂管道,快速对接数十种大数据平台、流式数据平台、关系型数据平台、接口服务,而不仅仅是作为数据终端,可灵活从Kafka、ES、Hadoop等平台取数和供数,打通企业数据流,实现数据全生命周期管理。

  • 丰富的可视化能力

提供趋势、散点等数十种常用可视化图表功能,可自定义安全态势感知大屏。

  • 机器学习能力

内置回归、预处理、时间预测、分类、聚类等五大类数十种主流机器学习算法,用于检测内部用户及实体异常。并提供可视化算法训练平台及算法效果可视化评估。

应用案例

某股份制商业银行借助日志易威胁检测、分析与响应平台,实现了对进程、文件、账户、访问等各类可疑事件的实时检测、预警、分析。

项目实现效果:

  • 持续监控已知威胁场景针对二十多类场景进行监控处置,每天封禁确认攻击事件约100+ 。
  • 着重分析可疑事件发现多个新的进程,例如发现业务变更导致可疑进程出现,侧面验证新进程发现的效果。
  • 深入调查可疑横向移动通过定义内部的访问关系对(固定,白名单),当出现新的访问关系对时,则发现异常,再对主机事件进行进一步分析。
图片
日志易 · 威胁场景定义

联系我们


如果希望了解更多威胁检测、分析与响应平台的功能及案例场景,欢迎拨打400-085-0159,或发送邮件至contact@yottabyte.cn,我们将第一时间安排安全专家,为您讲解和咨询。更多技术干货,请扫描下方二维码进入微信交流群!

产品
智能日志中心 SIEM安全大数据分析平台 用户与实体行为分析UEBA 日志易LAS 日志审计一体机 观察易 智能运维 数据工厂 日志易大屏
解决方案
场景
统一日志管理 运维监控分析 业务链路追踪 安全事件分析 实时业务分析 等保日志审计
行业
金融 运营商 电力能源 轨道交通 医疗卫生
App
操作系统 数据库 中间件 网络设备 安全设备 服务器
成功案例
农信银 大家保险 甘肃银行 广发证券 平安好学
合作伙伴
合作伙伴概览 认证培训申请 报备政策介绍 伙伴资源中心 合作伙伴成功 申请加入伙伴
资源中心
产品使用视频 E-Books 日志易书籍 日志学院 日志易大讲堂 社区
公司
公司介绍 公司动态 工作机会
微信
WeChat
微博
WeiBo
Copyright © 2014-2021 北京优特捷信息技术有限公司 | 京ICP备20005635号

京公网安备 11010502050282号

电话咨询
申请试用