日志易
作者日志易2020-05-28 13:04
其它, 日志易

教你一招搞定人行安全事件数据上报

字数 1522阅读 1084评论 0赞 0

近日,中国人民银行科技司发布了《金融行业态势感知与信息共享平台数据接入标准说明(试点)》,要求各级成员单位按照标准进行安全事件数据的上报对接,及威胁情报信息共享。在一期、二期试点阶段,日志易就已积极参与标准的调研和分析,成功协助多家金融客户制定了数据接入方案并完成数据接入准备工作。

虽然“金融业态势感知与信息共享平台”的建设是为了满足行业监管及风险管控需求,促进防护协同,但其对于金融机构内部的网络安全信息化建设也具有重要的借鉴价值。例如对安全信息及数据的全面收集和接入,有助于实现全面总览及综合分析,从而做到全面的风险管控。

日志易安全分析平台

日志易安全分析平台兼具关联分析和异常分析能力,全面支持各种威胁类型(已知威胁、可疑威胁以及未知威胁)的检测、分析与响应。该平台基于日志易自研的数据搜索引擎Beaver,通过流批处理计算框架,对企业的日志、流量数据进行深度关联,并结合资产信息、漏洞信息,进行威胁自动化响应处置,能够大幅提高用户在安全运营方面的决策能力。

日志易安全分析平台具备强大的数据采集接入能力,对各类安全数据实时接入,搭配日志易数据工厂产品,可以实现与各种安全及大数据平台的数据共享,当然也能够实现对“金融业态势感知与信息共享平台”数据的接入和消费。日志易安全分析平台能够大大加强企业对各类威胁的检测分析、追踪溯源能力。

上图:日志易安全分析平台架构

01、 全方位日志采集

全面采集安全设备、网络设备、中间件、操作系统、数据库、应用层日志。百万级EPS日志流处理能力,PB级秒级日志溯源跟踪能力。

02、 统一威胁处置

内置WEB安全、主机安全、合规安全等8大类常见的复杂事件处理检测规则,自动关联资产、漏洞以及威胁情报,并可对告警配置工单任务和阻断动作(包含自动阻断以及人工一键阻断)。

03、 南北向以及东西向流量异常检测(NTA)

可通过覆盖企业全网的多个流量探针,对主流的应用、网络协议进行采集和解析,还原流量数据进行溯源取证,并可对流量中的攻击行为进行检测。

04、 端点进程监控

结合Linux、Windows系统日志,分析其进程、账号登录、命令执行等事件,发现异常行为,如异常父子进程、异常账户或异常命令执行等可疑攻击渗透行为,帮助用户判断攻击结果(是否成功)。

05、 调查取证

将威胁告警和异常事件映射到时间维度,提供分析事件之间前因后果关系的能力。以威胁告警为入口对攻击链进行溯源,并通过递进的关联分析发现横向扩展的行为。

06、 任务管理

内置工单系统,并可灵活对接用户环境的工单系统,形成安全事件处置闭环和协同。

07、 流程编排及自动化响应

全界面化Playbook编排,可通过API联动各类安全设备/系统,自动根据匹配规则选择Playbook进行响应处置,自动完成IP阻断、账户锁定等常规动作。

08、 威胁情报对接

支持对接在线开源、人行行业共享情报、商用威胁情报库以及离线情报导入,并与威胁告警进行关联,进一步提高威胁告警的准确度。

09、 漏洞对接

对接开源、商用漏洞平台,对误报进行白名单处理,对低危漏洞或不关注之漏洞进行自动忽略或修复。

10、 资产管理

通过对接CMDB、日志提取、批量导入、自发现等方式,自动感知全网资产的动态变化,为威胁告警补全资产信息。

11、 多数据管道分发保障

结合日志易数据工厂产品,根据上级日志格式规范将同一数据来源ETL成不同数据格式,通过多数据管道将格式化日志分发到不同目的源。

12、 态势感知大屏

结合日志易大屏产品,将全网实时安全状态集中展现到安全管理人员面前。

如果您需要专属的解决方案,同时了解日志易的成功案例,欢迎给我们留言,或拨打热线电话:400-085-0159,我们将安排专家与您交流。

如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!

0

添加新评论0 条评论

Ctrl+Enter 发表

作者其他文章

相关资料

X社区推广