请问,在选择SIEM系统构建SOC平台时,是选择开源还是商业化的产品?国内这方面都有那些知名的企业?

在当前大环境下,各层级对于安全的重视程度在普遍提高,建设SOC平台的需求也的提高。如何选择适合的相应产品就非常关键了。既要达到各单位的安全管理要求,又要在产品等选择上符合国家相关要求。再加上国家对于国内这些方面的知名企业都有那些?都有那些应用成果?或者都有那些新的进展?

参与10

3同行回答

jadjad  研发工程师 , agile
建议还是选择商用产品,除非你们自己有比较强大的开发和运维团队。显示全部

建议还是选择商用产品,除非你们自己有比较强大的开发和运维团队。

收起
软件开发 · 2017-12-29
浏览3534
日志易日志易  其它 , 日志易
可以试试国产商业化产品:日志易。日志易经过大量的安全日志分析项目实践,认为企业面临的威胁应该划分为三种:(1)已知威胁,即可以通过规则定义出来的威胁场景,也是专家经验固化的检测对象;(2)可疑威胁,即不能马上确认有问题,需要进一步展开调查分析的威胁;(3)未知威胁,即在认知之外的威胁,...显示全部

可以试试国产商业化产品:日志易。
日志易经过大量的安全日志分析项目实践,认为企业面临的威胁应该划分为三种:
(1)已知威胁,即可以通过规则定义出来的威胁场景,也是专家经验固化的检测对象;
(2)可疑威胁,即不能马上确认有问题,需要进一步展开调查分析的威胁;
(3)未知威胁,即在认知之外的威胁,如不是出现某个偶然事件,引起调查分析,是不能够被发现。
日志易,是兼具关联分析和异常分析能力的分析平台,全面支持各种威胁类型(已知威胁、可以威胁以及未知威胁)的检测、分析与响应。平台基于日志易数据搜索引擎,通过流批处理计算框架,对企业的日志、流量数据进行深度关联,并结合资产信息、漏洞信息,进行威胁自动化响应处置,提高用户在安全运营方面的决策能力。
一、日志易功能简要介绍
1、威胁检测
一个安全事件(不管是哪种类型的威胁),往往需要多方面的信息,才能确认该安全事件的详细情况,如威胁源头,威胁频率,威胁横向扩展情况,威胁结果等。日志易将通过通过安全场景自动化检测,结合原始事件的取证能力,关联展示证据链条,为用户提供所需的判断依据,从而提高用户威胁分析能力。
2、调查分析
针对可疑事件,可以通过日志易展开进一步调查分析,分析该事件的横向扩散情况,是否引发其他安全事件,结果是什么(正常事件还是异常事件?成功还是失败?)。
3、资产管理
进行威胁分析或者风险分析的前提是,先进行资产识别。而资产识别的关键在于对资产的全生命周期进行管理。日志易支持多种资产识别方式,可以针对新增资产、资产变更(版本变更、服务变更等)进行识别,在进行威胁分析时,可以提供准确且有关联的内部资产情报,帮助用户在大量的安全事件中划分好优先级。
4、漏洞中心
资产往往存在脆弱性,如果在威胁分析时,能同步结合威胁、资产以及漏洞的信息进行综合判断,将对事件的优先级进行有效判断,为正常输出的海量告警提供优先级指引。
二、日志易特点介绍:
1、异常事件检测:结合自动化检测规则,发现异常事件,如新出现的文件、新出现的进程、新出现的用户;
2、详细用户分权:可通过控制数据权限,多角色参与安全事件的处置,实现安全事件的闭环管理,提高闭环处置效率;
3、威胁、漏洞以及资产关联:通过利用威胁影响的资产,资产存在的漏洞以及威胁利用的漏洞,三方面的关系,形成威胁风险的关系维度,可指引用户更好地对安全事件进行优先级高低处置。

收起
软件开发 · 2019-08-05
浏览3267
kermitkermit  项目经理 , 某知名零售企业
参考http://www.talkwithtrend.com/Question/408489想了解方案的话,可以看看Gartner魔力象限,最近几年都有的。http://www.freebuf.com/articles/security-management/118376.html显示全部

参考http://www.talkwithtrend.com/Question/408489

想了解方案的话,可以看看Gartner魔力象限,最近几年都有的。
http://www.freebuf.com/articles/security-management/118376.html

收起
餐饮 · 2018-01-02
浏览3588

提问者

lengxf2008
其它铁岭市社保信息中心
擅长领域: 服务器数据大集中安全

问题来自

相关问题

相关资料

相关文章

问题状态

  • 发布时间:2017-12-28
  • 关注会员:4 人
  • 问题浏览:6906
  • 最近回答:2019-08-05
  • X社区推广