个人理解,可以由简及烦,由确定的问题及不太确定的问题。一开始都不要考虑复杂的数据建模,由SIEM系统汇总的安全日志,从一个较长的时间段的角度去观察最严重的告警,本身就是有意义的。比如如果一台机器上持续有大量病毒告警,虽然防病毒已经在一定范围内控制了影响(比如删除了病毒文件),但是这台主机还是有意义去看一下的,可能是内部有一个木马没有根除导致一直释放病毒文件,也有可能是那台主机的用户一直访问带有病毒的网站等等。
收起大数据时代,随着攻击方式、频度的改变,安全产品的原始数据体量大幅增长,传统的SIEM分析已经越来越难以应对APT攻击等未知特征的威胁形式。单点式的安防系统,或者传统基于黑名单的威胁分析方案已经不足以支撑企业现在的安全环境。企业需要更智能化的解决方案,来应对日益增加的未知安全威胁。
将大数据技术用在SOC产品中,在新的态势感知与安全运营平台上,实现海量数据的存储,并做到实时挖掘和分析,彻底解决企业安全设备海量安全数据(日志的)的挖掘问题。利用大数据技术,可实现对全量数据的采集和存储,以及安全数据分析和威胁溯源。通过各种大数据分析模型和算法,不断将终端侧、网络侧,以及应用层、系统层,甚至人的层面的数据汇总起来,给传统检测和防御体系赋予新的大脑,转变成一个由数据驱动,纵深防御的体系。
收起