证券行业大部分都能做到收集日志，但对于收集上来的日志如何做关联分析？

安全智能产品已经内置了丰富的关联规则，快速定位发现问题，并按照优先级推送给安全分析人员。通过在企业内部的实施，并不断tuning，能够极大地帮助企业分析安全威胁。

对收集来的数据做到很好的关联分析是很难的一件事情。当然，一些soc或者siem也做了相关工作。 国外厂商，譬如赛门铁克、IBM好像都有Siem产品，国内厂商，天融信也在做SOC。个人感觉，仅日志采集的话，splunk是个不错的产品。

先回答第一个问题
证券行业大部分都能做到收集日志，但对于收集上来的日志如何做关联分析 ？
这里说明我们是如何做的，我们首先是与厂商进行沟通，获取到不同安全设备的日志格式解释类文档，这是保障解析质量最为可靠的方式，由此也可以进行一定的日志解析经验积累。二是在有积累或与设备厂商沟通的基础上，应确保数据解析过程中，解析人员和解析工作的规范性，即解析人员尽可能保持稳定，同时解析结果需要输出解析文档，并由甲方安全管理人员在解析阶段就介入，对解析的结果进行校验，以确保解析的质量。
因为在项目初期，相对于乙方，往往甲方安全管理人员才是最为熟悉自身企业环境情况的人，而对企业环境的了解程度，也影响到数据解析时，事件如何分割、字段需要与否等问题的决策，所以这个过程特别需要甲方的介入。
这里我们推后回答第二个问题，先回答第三个问题： soc或者siem虽然功能强大，但是在实施落地之后还是和预想的有巨大差距。行业内有没有好的最佳实践供我们学习和参考？
首先通过 SOC/SIEM 系统的建设，来完善企业安全建设体系，这些是可以理解的。不过这里有一个矛盾点，那就是对我们企业安全建设系统的认知。
如果我们不能识别我们的环境，不知道我们面临的威胁有哪些，我们就不知道我们安全建设的方向，这样又回到了前面的问题——我们应该去识别我们企业的环境。
风险大家都知道。风险是一个古老的概念，但古老并不意味着过时。我们应该由风险去指导如何建设企业安全体系。主要是识别我们企业的内部环境，由我们企业的内部环境去推导，推导出哪些是我们应该关注的威胁，再由威胁去推导出应该由 SOC/SIEM 去做哪些监控，再由监控去推导出需要有哪些数据源来做分析，再由数据源推导出我们应该去建设哪些防御手段，或者是增强哪些安全措施，主要是这么一个过程。
我们也有做过很多的证劵行业的日志，如果想要了解详细可以与我们的售前与销售联系一下，他们会有更加详细的资料给您参考。
最后回答第二个问题 有没有实用性强一些的统一日志分析平台 ？

开源版：

1. ELK，小企业玩玩可以，大企业的如果用他真的需要费点力气。
2. solr 没见有人用过
3. Hadoop 如果用他就不只是日志了吧。。。

企业版：

4. 日志易
5. splunk

6. 其他厂商

   这里我们推荐使用日志易

   日志易的优势

   1. 自研引擎：自研日志搜索分析引擎，每天可处理上百 TB 级日志量，搜索结果实时显示。
   2. 强大的 SPL 语言：在搜索框里编程，使日志分析更加灵活，满足各种统计分析需求。
   3. 平台上的各种 APP ：针对各种场景、各种格式的日志，导入所需 APP，直接实现对应日志采集与分析。
   4. 智能运维：实现异常自动发现、KPI 检测、容量预测等 AIOps 功能。