產(chǎn)品概述

        大數據安全分析平臺是安徽靈狐科技獨立研發(fā)的、擁有自主知識產(chǎn)權的新一代安全分析平臺。系統通過(guò)集中采集各類(lèi)系統中的安全事件（如網(wǎng)絡(luò )攻擊、防病毒等）、用戶(hù)訪(fǎng)問(wèn)記錄、系統運行日志、系統運行狀態(tài)、網(wǎng)絡(luò )存取日志等各類(lèi)信息，經(jīng)過(guò)數據識別、數據處理和數據分析等處理后，以統一格式的展示并進(jìn)行集中存儲和管理。僅通過(guò)簡(jiǎn)潔的監控界面，用戶(hù)即可實(shí)時(shí)動(dòng)態(tài)了解當前整個(gè)系統的安全態(tài)勢，獲知異常安全事件和審計違規情況,系統也提供了強大的安全異常問(wèn)題分析追溯功能。

大數據安全分析平臺主要由如下幾個(gè)部分構成：

●  數據源層：系統的數據來(lái)源，包括各類(lèi)網(wǎng)絡(luò )設備，主機、安全設備、數據庫、中間件、應用系統等能產(chǎn)生日志的設備或者信息系統；

●  采集層：對各類(lèi)數據進(jìn)行數據識別、數據處理；采集各類(lèi)日志、安全數據，如SMB、文件、數據庫（JDBC）等；

●  大數據計算層：對采集的數據進(jìn)行數據的提取、清洗、分析，實(shí)現了高性能、高壓縮和高可用，分片技術(shù)為大數據索引和搜索提供了有力支持，極大提高查詢(xún)和索引性能，便于業(yè)務(wù)層進(jìn)行大數據關(guān)聯(lián)、審計等安全分析；

●  大數據業(yè)務(wù)分析層：利用大數據分析引擎對大數據進(jìn)行關(guān)聯(lián)分析、審計分析等，實(shí)時(shí)與專(zhuān)家經(jīng)驗庫聯(lián)動(dòng)，精準分析，發(fā)現異常后實(shí)時(shí)告警；

       ●  展現層：是實(shí)現系統集中操作和管理的組件，提供圖形化的綜合展示界面。

主要功能

       通過(guò)大數據安全分析平臺，相關(guān)人員可以隨時(shí)了解整個(gè)系統的運行情況，及時(shí)發(fā)現系統異常事件及非法訪(fǎng)問(wèn)行為；通過(guò)事后分析和豐富的報表系統，管理員可以方便高效地對信息系統進(jìn)行有針對性的安全審計。遇到特殊安全事件和系統故障，大數據安全分析平臺可以確保日志完整性和可用性，協(xié)助管理員進(jìn)行故障快速定位，并提供客觀(guān)依據進(jìn)行追查和恢復。

大數據安全分析平臺的主要功能如下：

●  采集配置：在接入各類(lèi)日志和事件前，指定需要采集的目標、接入方式以及相關(guān)參數（如數據庫的各種連接參數）、選擇標準化的腳本和過(guò)濾及歸并策略；

●  數據識別：根據指定的標準化腳本，對相應日志或事件進(jìn)行標準字段的映射；

●  數據處理：過(guò)濾和歸并的目的均是為了壓縮整體事件數量，而且利用過(guò)濾策略，用戶(hù)也可以將指定的事件轉發(fā)至需要的地方或對事件信息的相關(guān)屬性進(jìn)行重新賦值；

●  數據分析：事件關(guān)聯(lián)分析和審計分析是大數據安全分析平臺的核心分析部分，它不僅可以綜合考量各種事件之間可能存在的關(guān)系，而且能夠對事件中相關(guān)要素進(jìn)行分析；最終，事件分析和審計分析的結果均以告警的形式出現在系統中；

●  查詢(xún)和檢索：系統提供基礎、高級和基于搜索表達式的方式對原始事件進(jìn)行不同維度的查詢(xún)和檢索；

●  報表管理：系統提供豐富的報表，以滿(mǎn)足用戶(hù)不同的要求；

●  資產(chǎn)管理：大數據安全分析平臺提供資產(chǎn)管理模塊，以方便用戶(hù)對被管對象的管理；

●  知識庫管理：系統提供日志發(fā)送配置（即如何對各種系統進(jìn)行配置，以便正常采集日志）、安全事件知識、安全經(jīng)驗，對安全分析提供相應的支撐；

       ●  系統管理：系統的自身管理，包括如用戶(hù)管理、日志管理、升級管理等功能。

產(chǎn)品特色

1、數據處理

       為了對接收的日志數量進(jìn)行壓縮，大數據安全分析平臺還提供了過(guò)濾和歸并功能；其中，過(guò)濾功能不僅僅是丟棄那些覺(jué)得無(wú)用的日志，而且也可以將它們轉發(fā)到外部系統或對部分事件字段進(jìn)行重新填充。

 

2、四層分析模型

3、大數據分析

       大數據安全分析平臺的事件分析功能是系統中的重要功能之一，對于分析所產(chǎn)生的結果將在關(guān)聯(lián)事件中呈現，如果符合關(guān)聯(lián)策略,將以告警的形式在實(shí)時(shí)監控模塊呈現給用戶(hù)，用戶(hù)可以對告警進(jìn)行相關(guān)的處理。

4、審計管理

       大數據安全分析平臺的審計管理能是系統中的重要功能之一，審計管理側重于發(fā)現日志中相關(guān)要素是否和預定的審計策略相符，如時(shí)間、IP地址、人員、方式等，對于相符合的結果，系統將在審計事件中呈現給用戶(hù)，如果符合定制的審計策略,也會(huì )在實(shí)時(shí)監控模塊以告警形式展現給用戶(hù)。

       審計管理能夠方便的自定義審計人員、行為對象、審計類(lèi)型、審計策略等基本配置；并能夠自定義審計策略模板，審計管理內置了大量審計策略模板，涵蓋了常見(jiàn)的、對企業(yè)非常實(shí)用的審計策略模板，如主機、防火墻、數據庫、薩班斯審計策略模板等。

5、安全可視化

部署方式

●  單機部署

●  采集機分布式部署

●  集群部署