产品概述
银科数安安全态势分析与管理平台
在大数据时代,以数据为核心,用新技术提供的低成本、高可靠、可弹性扩展的数据处理能力,满足组织和企业对异构海量日志数据的处理需求;以关联分析(知所已知)和行为分析(知所未知)为基础,为安全管理人员提供智能化分析方法,以应对日益复杂的隐蔽攻击和威胁,从数据中发现价值;同时,以运维和管理为动力,提供流程辅助、合规管控、安全分析和决策支持等能力;并且通过可视化技术和人机交互为安全管理人员提供工作接口,展现数据价值。
银科数安安全态势系统以全流量分析为基础,基于探针等安全组件采集全网的关键数据,以态势感知系统为安全核心,结合机器学习、数据建模、行为识别、EBA、威胁情报、大数据关联分析、可视化等技术,对海量日志进行集中分析和挖掘,从而发现潜在的安全风险。实现安全信息的长期全量存储、全文检索分析、异常行为检测和安全合规要求。同时,提供易运营的支撑体系,便于安服专家或运维体系的介入和应急响应,提高事件响应的速度和高级威胁发现能力。
分层设计
采集层
采集数据来源包括网络设备、安全设备、数据库、中间件、主机等。该层提供多种接口进日志的采集和对接,支持 ftp、jdbc、scp、sftp、ssh、telnet、wmi、syslog、snmptrap、Flow、 winlog、filelog、webservice、resetful api 等方式采集。
数据层
对采集的数据进行预处理,包括数据清洗、数据归并、数据富化,最终数据转换为平台可理解的格式化数据,以文件的形式进行存在,等待分析。
分析层
读取经过预处理后的数据进行离线计算和实时机算。在此进行全网安全数据的检测、分析和统计,并结合威胁情报、行为分析、智能分析等技术,发现安全威胁现状,同时,内置的多条安全关联规则可将数据进行归并告警。
表示层
基于 APP 的方式设计整个数据可视化的展示,基于从数据存储系统中获取数据的接口,读取展示数据,提供各种数据的安全可视服务及对外接口服务。
客户价值
有效数据提取
为实现智能化、精准化的安全实时监测、预警能力,在数据来源方面,态势感知系统具备主动采集有效数据的能力,避免过度依赖外部威胁情报或内部网络设备的异构、或误报的数据导致结果缺乏精准性,同时为有效的追踪溯源分析和威胁追捕提供有力的数据支撑。
全面的实时监测体系
要做到全网威胁感知,必须需要具备多维度的监测、分析体系。安全感知平台从脆弱性、外部攻击、内部异常进行三大维度的安全实时监测能力构建,来达成全面的检测体系。
多维度的安全可视预警
安全可视是安全检测的核心。通过可视化技术将态势感知系统检测的全网问题进行综合呈现和预警,以宏观决策视角和微观运维视角进行区分展示,便于不同角色人员进行决策处 置。
可感知的威胁告警
为便于运维体验和安全专家分析,态势感知系统创新性的设计可感知的安全告警,让威胁具有易识性、易理解。
典型应用
- 安全态势分析与管理平台一般部署到管理区,作为管理平台展示(需要接入交换机,以便管理和展示)。
- 流量融合探针通过旁路到交换机上,接收交换机的镜像流量进行采集、检测,并将结果通过网络链路传给平台进行综合分析。流量融合探针应分别部署在最接近被监测子网的交换机上。
- 服务器探针一般部署到管理区,保证服务器探针和监控的内网资产在同一网络,服务器探针对监控的内网进行资产发现、资产可用性监控和资产脆弱性收集,并将资产数据、可用性数据和脆弱性数据通过网络链路上报给平台进行综合分析。服务器探针在内网网络可达的情况下,可在管理区部署一台即可,不用在各个区域分别部署。
