1同行回答
日志易经过大量的安全日志分析项目实践,认为企业面临的威胁应该划分为三种,(1)已知威胁,即可以通过规则定义出来的威胁场景,也是专家经验固化的检测对象;(2)可疑威胁,即不能马上确认有问题,需要进一步展开调查分析的威胁(3)未知威胁,即在认知之外的威胁,如不是出现某个偶然事件,引起调查分析,是不能够被发现。
日志易,是兼具关联分析和异常分析能力的安全分析平台,全面支持各种威胁类型(已知威胁、可以威胁以及未知威胁)的检测、分析与响应。平台基于日志易数据搜索引擎,通过流批处理计算框架,对企业的日志、流量数据进行深度关联,并结合资产信息、漏洞信息,进行威胁自动化响应处置,提高用户在安全运营方面的决策能力。
一、日志易功能简要介绍
1、威胁检测
一个安全事件(不管是哪种类型的威胁),往往需要多方面的信息,才能确认该安全事件的详细情况,如威胁源头,威胁频率,威胁横向扩展情况,威胁结果等。日志易将通过通过安全场景自动化检测,结合原始事件的取证能力,关联展示证据链条,为用户提供所需的判断依据,从而提高用户威胁分析能力。2、调查分析
针对可疑事件,可以通过日志易展开进一步调查分析,分析该事件的横向扩散情况,是否引发其他安全事件,结果是什么(正常事件还是异常事件?成功还是失败?)。3、资产管理
进行威胁分析或者风险分析的前提是,先进行资产识别。而资产识别的关键在于对资产的全生命周期进行管理。日志易支持多种资产识别方式,可以针对新增资产、资产变更(版本变更、服务变更等)进行识别,在进行威胁分析时,可以提供准确且有关联的内部资产情报,帮助用户在大量的安全事件中划分好优先级。4、漏洞中心
资产往往存在脆弱性,如果在威胁分析时,能同步结合威胁、资产以及漏洞的信息进行综合判断,将对事件的优先级进行有效判断,为正常输出的海量告警提供优先级指引。二、日志易特点介绍:
1、异常事件检测:结合自动化检测规则,发现异常事件,如新出现的文件、新出现的进程、新出现的用户;
2、详细用户分权:可通过控制数据权限,多角色参与安全事件的处置,实现安全事件的闭环管理,提高闭环处置效率;
3、威胁、漏洞以及资产关联:通过利用威胁影响的资产,资产存在的漏洞以及威胁利用的漏洞,三方面的关系,形成威胁风险的关系维度,可指引用户更好地对安全事件进行优先级高低处置。