酷家乐x极盾科技:“智能安全决策平台”助力日均十亿级日志分析

news2024/11/19 13:43:50

企业网络环境中每天都会产生大量的网络日志,还有工作站,服务器,路由器和防火墙等网络设备中的日志对网络安全的提升具有重要意义。充分利用好它们可以帮助企业及时发现潜在的风险和安全漏洞,把网络环境中存在的威胁扼杀在摇篮中。

2021年底,酷家乐与极盾科技结缘,基于极盾·析策联合打造实时自适应的“智能安全决策平台”,通过接入各个系统日志进行统一管理、实时采集、关联分析、实时检测、实时告警实现日均2TB/12亿日志量分析日均安全告警数量降至10条左右精准识别安全风险的同时,大大提升安全运营效率。另外,极盾·析策作为基础平台,实现API资产监测以及企业微信实时告警

选择初衷:

日志分散、缺乏有效安全运营

酷家乐拥有千万级用户,全球近万台服务器,每日累计产生2TB/12亿条安全日志。酷家乐安全项目负责人袁总表示:“每天我们外网至少有500G流量,每年上半年业务高峰,外网流量会翻倍,甚至好几倍。”

大量的日志被分散储存在不同的设备上,缺乏统一有效管控,安全数据孤岛严重,对安全风险的识别能力薄弱,亟需提升整体安全风险检测防控能力。如果发生故障的话,需要查阅日志就会即繁琐又低效。

同时,自建系统维护成本繁重,安全运营效率低下,无法满足海量安全数据场景实时威胁检测预警、实时响应等需求,无法达成等保三级日志审计相关要求。

因此,酷家乐向外开始寻求成熟的产品和有效的解决方案。

极盾·析策:

打破数据孤岛,实时分析、监测

该产品必须可以实时分析、实时监测和告警;它必须有很强的稳定性,可以支撑日均十亿级别的日志量;此外,还要求产品易上手,易操作。

极盾·析策-新一代一站式智能安全决策平台,或是最佳选择。

极盾·析策单节点日志量分析处理性能可达千万级别,集群部署可达亿级别以上;底层组件均采用分布式设计,确保分布式集群7*24小时稳定运行;实时分析性能P99 <=20ms、P90 <=10ms;实时查询性能P99 <=5秒、P90 <=3秒;任意组件均支持横向扩展,实现对整体性能的近线性能提升。这种“高吞吐、高可靠、低延时、可扩展”的特性,正是酷家乐寻找的解决方案。

01、“一键安全数据接入,打破数据孤岛

极盾·析策内置业内数千种常见的安全设备与三方系统日志格式解析模型,通过交互式的对接配置流程实现分钟级别的数据对接。酷家乐当天便快速完成基础版本部署上线,包括数据对接与策略模型的初始化。部署上线后,酷家乐主要把各个系统的日志汇集到极盾·析策平台,统一管理,关联分析,打破数据孤岛,日均有近12亿的数据量。 

02、“上手的安全分析,洞察安全风险

极盾·析策基于XDR整体技术框架,其分布式采集平台对酷家乐系统网络日志进行实时采集,每天将近有12亿的数据量,采集的数据进行预处理之后产生规范数据,通过实时的智能决策引擎进行实时分析,最后得到一个监测结果并进行告警,这个监测结果里面包含事件类型、风险类型、风险等级、置信度、攻击间断、使用的攻击战术等等。

极盾·析策支持可视化分析、安全风险可视化、安全规则可视化,还支持安全事件全局明细查询、聚合查询,进一步缓解了安全运维人员的工作压力,让企业的安全防护得到了巨大的提升。极盾·析策对来自各个系统的日志进行关联分析,统一安全规则进行实时告警,目前酷家乐日均安全告警数10条左右

03、场景化智能安全决策、灵活运用更有效

极盾·析策具有一套强大的实时智能决策系统,融合流计算引擎+规则引擎+模型引擎+工作流引擎为一体的综合智能决策引擎。

其中,以规则引擎为核心形成的策略平台,统一管理安全检测策略,实时进行关联调查,跨层分析。围绕不同安全场景,策略平台支持低代码可视化的方式让安全运营人员快速配置规则,上下线策略,且策略规则支持实时调整实时生效。目前,酷家乐主要通过自定义策略规则应用在安全攻防、反爬虫、业务操作日志审计,数据库日志审计,堡垒机审计等场景

作为基础平台:

极盾·析策的灵活使用

问起当时选择极盾科技的初衷时,袁总说:“当时在几家公司中之所以选择极盾科技,主要是因为极盾·析策可以自定义规则策略,想象空间大,灵活性很高,可以做很多事情。”

酷家乐在使用极盾·析策时,除了日志分析以外,还把它作为网络安全基础平台进行API资产监测以及实时企信告警的使用。袁总表示,接下来他们还会利用极盾·析策进行“自动化响应处置”的功能使用。

1、API资产监测

企业组织内部应用资产往往缺乏可见性,大量API存在于正常流程和控制之外,很多API分散在多个平台,难以被统一管理。

· 企业每天都会有新业务上线,安全部门如何第一时间发现、识别新增API,是否有大量的影子API存在?

·短期使用的API或者API老旧版本未能及时下线,安全部门如何找出这些僵尸API,杜绝潜在风险?

·新API不断上线,存量API也在不断迭代,敏感数据也可能在API当中不断增加,如何监控API中敏感数据的变化?

·API当中流动着大量的敏感数据,如何识别敏感数据的异常访问,如何检测敏感数据泄漏?

·当发生数据泄漏时,如何快速追踪溯源,对相关责任人快速定位?

这些问题同样也是酷家乐关心的问题。极盾·析策支持持续、动态的方式梳理API资产,包括API开放的数量、API的活跃状况、僵尸API、影子API等安全风险信息,并内置上百个威胁检测模型,可以实时发现API异常访问、数据泄露等问题。

酷家乐利用极盾·析策进行二次开发完成实现对全貌API资产的自动盘点与分析,包括新增API和废弃API等,让API资产可知可视可管,构建应用安全防护体。

2实时企信告警

酷家乐将企业微信接入极盾·析策,基于平台的策略规则配置告警策略,指定告警对象,当有攻击发生时,就会实时告警到该指定人员或者群体。

3、自动化响应处置

极盾·析策的自动化处置整个编排框架是由条件节点与多个串联或并联的执行节点组合建立的,条件节点用于定制安全事件匹配条件;执行节点负责执行满足条件后的执行动作,执行节点一般分为几种,如命令执行类,扫描类、发送消息类,以及更灵活的脚本类。

酷家乐可以根据策略命中那一刻所对应的安全事件上下文进行多个节点的安全编排,灵活定制每一个节点自动化响应的操作来实现自动化响应处置。

极盾·析策作为一款“一站式、体系化”的智能安全分析决策平台,可集合包括大容量日志分析、WAF、IPS、防火墙、DLP、防病毒、SOAR等在内的各类网络安全产品优势于一体,通过可视化的信息呈现以及安全策略的一键调优,真正实现“统一部署、统一管理、统一监控、统一运营”,支撑安全攻防、人员内控和数据安全三大场景,让网络安全日常化,达成可持续运营管控的目标。

安全赋能业务,创新永不停止。未来,极盾科技将继续助力酷家乐,期待更多的可能性。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/502602.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

10年IT老兵亲述SpringCloud开发从入门到实战文档

前言 首先给大家看一张图&#xff0c;不知道图上这些springcloud的技术知识点&#xff0c;大家是否都精通而灵活运用了呢&#xff1f; 如果没有精通灵活运用的话&#xff0c;小编将用此文来带大家一步步来深入学习这些技术知识&#xff0c;接下来将从Spring Boot微框架搭建、S…

Makefile及cmake学习

Makefile及cmake学习 1. g&#xff0c;gcc以及cpp的区别2. Makefile2.1 介绍一个例子2.2 避免头文件重复包含的方法2.2.1 宏定义2.2.2 #pargma once 2.3 使用Makefile编译文件2.3.1 手动编译2.3.2 Makefile编译-版本12.3.3 Makefile编译-版本22.3.4 Makefile编译-版本32.3.5 Ma…

【三维几何学习】网格简化-ModelNet10

网格简化-ModelNet10 引言一、网格的简化1.1 水密网格的简化可视化1.2 非水密网格的简化可视化1.3 核心代码 二、ModelNet10数据集简化三、展望 引言 计算机算力有限&#xff0c;特别是在深度学习领域&#xff0c;撇开网格的输入特征计算&#xff0c;现有条件很难直接训练测试…

JS逆向 -- 某联盟登录密码分析

一、输入账号密码 账号&#xff1a;15836353612 密码&#xff1a;123456 二、F12打开开发者工具&#xff0c;抓包分析&#xff0c;password被加密提交了 三、全局搜索password&#xff0c;定位到关键JS文件&#xff0c;下断调试 四、断下来后&#xff0c;查看formDate的值&…

AspNetCore中的中间件详解【超详细】

1 什么叫做中间件&#xff1f; ASP.NET Core处理请求的方式看做是一个管道&#xff0c;中间件是组装到应用程序管道中用来处理请求和响应的组件。通常是一个可重用的类方法 每个中间件可以&#xff1a; &#xff08;1&#xff09;选择是否将请求传递给管道中的下一个组件。 &a…

第一行代码 第七章 内容提供器

第七章 内容提供器 在上一章中我们学了Android数据持久化的技术&#xff0c;包括文件存储、SharedPreferences存储以及数据库存储。使用这些持久化技术所保存的数据都只能在当前应用程序中访问。 虽然文件和SharedPreferences存储中提供了MODE_WORLD_READABLE和MODE_WORLD_WR…

UU跑腿“跑男失联”:同城即配服务赛道商业逆袭难?

五一假期&#xff0c;人们纷纷走出家门&#xff0c;要么扎堆奔向“远方”&#xff0c;要么、享受本地烟火气息。 据文化和旅游部数据中心测算&#xff0c;劳动节假期&#xff0c;全国国内旅游出游合计2.74亿人次&#xff0c;同比增长70.83%。 五一假日的郑州东站 面对人山人海…

树莓派(主)与STM32(从)使用SPI通信

1.实验目的 2.SPI 简介 SPI&#xff08;Serial Peripheral Interface&#xff0c;串行外设接口&#xff09;是Motorola公司提出的一种同步串行数据传输标准 2.1 接口 SPI接口经常被称为4线串行总线&#xff0c;以主/从方式工作&#xff0c;数据传输过程由主机初始化。如图1…

【干货集】PCBA板边器件布局重要性

电子元器件在PCB板上的合理布局&#xff0c;是减少焊接缺点的极重要一环&#xff01;元器件要尽可能避开挠度值非常大的区域和高内应力区&#xff0c;布局应尽量匀称。 为了最大程度的利用电路板空间&#xff0c;相信很多做设计的小伙伴&#xff0c;会尽可能把元器件靠板的边缘…

机器学习基础知识之数据归一化

文章目录 归一化的原因1、最大最小归一化2、Z-score标准化3、不同方法的应用 归一化的原因 在进行机器学习训练时&#xff0c;通常一个数据集中包含多个不同的特征&#xff0c;例如在土壤重金属数据集中&#xff0c;每一个样本代表一个采样点&#xff0c;其包含的特征有经度、…

《程序员面试金典(第6版)》面试题 16.16. 部分排序(double双指针(多指针),C++)

题目描述 给定一个整数数组&#xff0c;编写一个函数&#xff0c;找出索引m和n&#xff0c;只要将索引区间[m,n]的元素排好序&#xff0c;整个数组就是有序的。注意&#xff1a;n-m尽量最小&#xff0c;也就是说&#xff0c;找出符合条件的最短序列。函数返回值为[m,n]&#xf…

什么是平台工程?如何开始?

平台工程是为开发人员构建和维护自助服务平台的学科。该平台提供了一套云原生工具和服务&#xff0c;帮助开发者快速高效地交付应用。平台工程的目标是通过标准化和自动化软件交付生命周期 (SDLC) 中的大部分任务来改善开发人员体验 (DX)。开发人员可以专注于使用自动化平台编码…

Type-C PD充电器诱骗PD+QC+AFC+FCP全协议快充取电5V9V12V15V20V

Type-C充电器采用的是PD快充协议&#xff0c;支持的电压高&#xff0c;电流大&#xff0c;一般有5V3A、9V3A、12V3A、15V3A、20V5A等等。 因为充电器内部有协议芯片&#xff0c;当外部设备连接时&#xff0c;设备会和充电器进行协议匹配&#xff0c;匹配成功之后&#xff0c;充…

ASEMI代理ADI亚德诺LT8609AJDDM#WTRPBF车规级芯片

编辑-Z LT8609AJDDM#WTRPBF特点&#xff1a; 宽输入电压范围&#xff1a;3.0V 至 42V 超低静态电流突发模式操作&#xff1a; 将 12VIN 调节到 3.3VOUT 时 IQ 为 2.5A 输出纹波 < 10mVP-P 高效 2MHz 同步操作&#xff1a; 1A 时效率为 93%, 12VIN 可获得 5VOUT 最大…

3.1 一个稍微完善的Vue.js响应式系统

前文提要&#xff1a;3.0 响应式系统的设计与实现 1、设置一个合理的effect副作用函数 如上文所说&#xff0c;如果我们直接将简单的effect函数作为副作用函数&#xff0c;如果一个副作用函数不叫effect岂不是找不到了。解决方案也很简单&#xff0c;我们设定一个全局变量用于…

在CRA中配置别名路径并添加别名路径提示

写在前面&#xff1a; 使用React官方脚手架create-react-app[简称CRA]创建react项目&#xff1a;npx create-react-app 项目名称 一、配置别名路径 1.1 写在前面 目的&#xff1a;简化项目中的路径处理&#xff0c;和Vue项目中的类似。 参考文档&#xff1a;自定义CRA的默认…

MySQL基础(十二)数据类型精讲

1. MySQL中的数据类型 类型类型举例整数类型TINYINT、SMALLINT、MEDIUMINT、INT(或INTEGER)、BIGINT浮点类型FLOAT、DOUBLE定点数类型DECIMAL位类型BIT日期时间类型YEAR、TIME、DATE、DATETIME、TIMESTAMP文本字符串类型CHAR、VARCHAR、TINYTEXT、TEXT、MEDIUMTEXT、LONGTEXT枚…

一个日期类深度认识operator符号重载

一&#xff1a;概念 在以前的C语言的学习中,如果我们需要比较两个整数并返回它的结果可以直接用与之相关的符号。例如我们可以直接写成A>B或者A<B一类的&#xff0c;但是它的局限性很大&#xff0c;只能比较内置类型&#xff0c;因为计算可以直接转换成对应的汇编代码进…

如何通过国外主机租用服务提高网站SEO排名?

当今的互联网已经成为了商业和社交活动的主要场所之一。在这个快速变化的数字时代&#xff0c;网站的搜索引擎优化(SEO)排名对于任何企业的成功都至关重要。一个好的SEO排名能够帮助企业吸引更多的访客和潜在客户&#xff0c;增加业务的转化率。而国外主机租用服务可以帮助您优…

【C++学习】函数模板

模板的概念 模板就是建立通用的模具&#xff0c;大大提高复用性。 模板的特点&#xff1a; 模板不可以直接使用&#xff0c;它只是一个模型 模板的通用不是万能的 基本语法 C中提供两种模板机制&#xff1a;函数模板和类模板 函数模板作用&#xff1a; 建立一个通用函数&…