產(chǎn)品概述

        大數(shù)據(jù)安全分析平臺是安徽靈狐科技獨立研發(fā)的、擁有自主知識產(chǎn)權的新一代安全分析平臺。系統(tǒng)通過集中采集各類系統(tǒng)中的安全事件（如網(wǎng)絡攻擊、防病毒等）、用戶訪問記錄、系統(tǒng)運行日志、系統(tǒng)運行狀態(tài)、網(wǎng)絡存取日志等各類信息，經(jīng)過數(shù)據(jù)識別、數(shù)據(jù)處理和數(shù)據(jù)分析等處理后，以統(tǒng)一格式的展示并進行集中存儲和管理。僅通過簡潔的監(jiān)控界面，用戶即可實時動態(tài)了解當前整個系統(tǒng)的安全態(tài)勢，獲知異常安全事件和審計違規(guī)情況,系統(tǒng)也提供了強大的安全異常問題分析追溯功能。

大數(shù)據(jù)安全分析平臺主要由如下幾個部分構成：

●  數(shù)據(jù)源層：系統(tǒng)的數(shù)據(jù)來源，包括各類網(wǎng)絡設備，主機、安全設備、數(shù)據(jù)庫、中間件、應用系統(tǒng)等能產(chǎn)生日志的設備或者信息系統(tǒng)；

●  采集層：對各類數(shù)據(jù)進行數(shù)據(jù)識別、數(shù)據(jù)處理；采集各類日志、安全數(shù)據(jù)，如SMB、文件、數(shù)據(jù)庫（JDBC）等；

●  大數(shù)據(jù)計算層：對采集的數(shù)據(jù)進行數(shù)據(jù)的提取、清洗、分析，實現(xiàn)了高性能、高壓縮和高可用，分片技術為大數(shù)據(jù)索引和搜索提供了有力支持，極大提高查詢和索引性能，便于業(yè)務層進行大數(shù)據(jù)關聯(lián)、審計等安全分析；

●  大數(shù)據(jù)業(yè)務分析層：利用大數(shù)據(jù)分析引擎對大數(shù)據(jù)進行關聯(lián)分析、審計分析等，實時與專家經(jīng)驗庫聯(lián)動，精準分析，發(fā)現(xiàn)異常后實時告警；

       ●  展現(xiàn)層：是實現(xiàn)系統(tǒng)集中操作和管理的組件，提供圖形化的綜合展示界面。

主要功能

       通過大數(shù)據(jù)安全分析平臺，相關人員可以隨時了解整個系統(tǒng)的運行情況，及時發(fā)現(xiàn)系統(tǒng)異常事件及非法訪問行為；通過事后分析和豐富的報表系統(tǒng)，管理員可以方便高效地對信息系統(tǒng)進行有針對性的安全審計。遇到特殊安全事件和系統(tǒng)故障，大數(shù)據(jù)安全分析平臺可以確保日志完整性和可用性，協(xié)助管理員進行故障快速定位，并提供客觀依據(jù)進行追查和恢復。

大數(shù)據(jù)安全分析平臺的主要功能如下：

●  采集配置：在接入各類日志和事件前，指定需要采集的目標、接入方式以及相關參數(shù)（如數(shù)據(jù)庫的各種連接參數(shù)）、選擇標準化的腳本和過濾及歸并策略；

●  數(shù)據(jù)識別：根據(jù)指定的標準化腳本，對相應日志或事件進行標準字段的映射；

●  數(shù)據(jù)處理：過濾和歸并的目的均是為了壓縮整體事件數(shù)量，而且利用過濾策略，用戶也可以將指定的事件轉(zhuǎn)發(fā)至需要的地方或?qū)κ录畔⒌南嚓P屬性進行重新賦值；

●  數(shù)據(jù)分析：事件關聯(lián)分析和審計分析是大數(shù)據(jù)安全分析平臺的核心分析部分，它不僅可以綜合考量各種事件之間可能存在的關系，而且能夠?qū)κ录邢嚓P要素進行分析；最終，事件分析和審計分析的結果均以告警的形式出現(xiàn)在系統(tǒng)中；

●  查詢和檢索：系統(tǒng)提供基礎、高級和基于搜索表達式的方式對原始事件進行不同維度的查詢和檢索；

●  報表管理：系統(tǒng)提供豐富的報表，以滿足用戶不同的要求；

●  資產(chǎn)管理：大數(shù)據(jù)安全分析平臺提供資產(chǎn)管理模塊，以方便用戶對被管對象的管理；

●  知識庫管理：系統(tǒng)提供日志發(fā)送配置（即如何對各種系統(tǒng)進行配置，以便正常采集日志）、安全事件知識、安全經(jīng)驗，對安全分析提供相應的支撐；

       ●  系統(tǒng)管理：系統(tǒng)的自身管理，包括如用戶管理、日志管理、升級管理等功能。

產(chǎn)品特色

1、數(shù)據(jù)處理

       為了對接收的日志數(shù)量進行壓縮，大數(shù)據(jù)安全分析平臺還提供了過濾和歸并功能；其中，過濾功能不僅僅是丟棄那些覺得無用的日志，而且也可以將它們轉(zhuǎn)發(fā)到外部系統(tǒng)或?qū)Σ糠质录侄芜M行重新填充。

 

2、四層分析模型

3、大數(shù)據(jù)分析

       大數(shù)據(jù)安全分析平臺的事件分析功能是系統(tǒng)中的重要功能之一，對于分析所產(chǎn)生的結果將在關聯(lián)事件中呈現(xiàn)，如果符合關聯(lián)策略,將以告警的形式在實時監(jiān)控模塊呈現(xiàn)給用戶，用戶可以對告警進行相關的處理。

4、審計管理

       大數(shù)據(jù)安全分析平臺的審計管理能是系統(tǒng)中的重要功能之一，審計管理側(cè)重于發(fā)現(xiàn)日志中相關要素是否和預定的審計策略相符，如時間、IP地址、人員、方式等，對于相符合的結果，系統(tǒng)將在審計事件中呈現(xiàn)給用戶，如果符合定制的審計策略,也會在實時監(jiān)控模塊以告警形式展現(xiàn)給用戶。

       審計管理能夠方便的自定義審計人員、行為對象、審計類型、審計策略等基本配置；并能夠自定義審計策略模板，審計管理內(nèi)置了大量審計策略模板，涵蓋了常見的、對企業(yè)非常實用的審計策略模板，如主機、防火墻、數(shù)據(jù)庫、薩班斯審計策略模板等。

5、安全可視化

部署方式

●  單機部署

●  采集機分布式部署

●  集群部署