close


我是誰

我叫獵鷹,依靠XDR平台,在傳統的雲端行為告警基礎上衍生出了數據處理、響應、處置等後續動作,所以我已經進化成為了一套完整服務。作為奇安信自研產品,目前落戶於錫安平台。


我的意義

我的出生,就是為了應對告警過多的問題

01

安全防護節點那麼多、終端設備那麼多,各自產生告警後的海量數據匯集一起,處理起來屬實壓力山大

在傳統的告警處理過程中,會發現存在大量無效的情況


02
03

像大海撈針一樣過濾無效告警後,僅有的有效事件經過梳理,會發現其本質是一個事件,只不過出現在不同節點04

另外還有個更加遺憾的事實:並非所有安全運維人員具備告警事件的溯源梳理能力


04

於是,我便出現了
01

主動收集終端、網絡以及雲工作負載上的與攻擊技戰術相關的行為數據,通過標準化後,統一存入數據湖中待分析

將海量告警通過自動化的檢測能力聚合,獵鷹平台能夠有效削減離散的、海量的網端兩側原始告警信息,告警數量控制在可承擔範圍內,轉換為用戶能夠理解的安全事件


02
03

現在告警削減比例已超過99.99%


舉個栗子

下面是一個完整的攻擊鏈路圖,通過關聯網絡側和終端側的日誌數據(如網絡連接信息、數據包關鍵內容、終端進程調用、計劃任務等,可覆蓋ATT&CK超過163項攻擊手法),最後我可以將端、網、雲等遙測數據進行故事線關聯,構建完整、高質量的攻擊鏈,實現分鐘級威脅識別


炫兩個技能

達到以上的效果,不得不提到我的兩個核心能力
能力一·數據湖
01

雲原生架構,同時兼容Hadoop集群

02

存儲和計算分離,各自優化,節省成本

03

支持公有雲基礎設施,方便私有部署和集成

做到以上三點,意味着對於再大的數據量級覆蓋、再多的終端日誌接入都可以無畏,甚至是第三方廠商也可以通過API接入進行日誌託管

暫時僅接入了天擎日誌,其他渠道歡迎來洽談!!

01
攻防演練期間僅天擎日誌,灌入數據湖日誌數,就達到了232億條日均,最高8月5日達到312.98億;
02
在如此大規模的數據處理上依舊平穩保障了每日數據清洗,清洗後獲得日均告警數量僅80.59W條
03
再經過運營規則處理獲得告警實體數據最終不過萬,日均3K左右,真正的解決了告警過載問題

能力二·EQL語言
01

統一語法,易於交流和積累

02

將實時處理和離線處理統一起來

03

支持常見威脅檢測的規則表達:簡單過濾、日誌關聯Join、分組統計、時序

沒錯,EQL是不是直接使你想起SQL?為了易用性我們做成了類SQL語言,簡單易學上手快

它的特性看起來只有簡單的三點,但實際上已經做到了常見威脅檢測覆蓋

如果沒有你所需要的,你來找我,我給你加!!

用數據說話

通過上面是不是對於我有了一些了解?那就再繼續說一說我的價值(我的價值就是取決於你要不要用我,還是物超所值那種)
就說這次攻防演練吧,15天內總計石錘了(不是錘石)540個事件,平均一天36個


日均36個事件的意義

一個事件算一個事故的話……還是挺嚇人的,尤其總計540個事件,分布在176家客戶,是不是就意味着攻防演練期間,通過我-獵鷹,發現且處理了176家客戶的問題

專業高效的運營支撐

攻防演練期間運營團隊緊密協作,負責在獵鷹平台處理日誌、核實告警、確認事件,做到了7X24小時戰鬥!

向樓下Famliy Mart看齊,爭取做到全新無休~

我們負責提取病毒庫特徵的同學,在此期間也非常給力
01
提取JSON/MPE特徵94條
02
提取快速特徵623條
03
特徵庫累積更新360個版本
04
發版更新記錄298673條
幾乎每小時就有一版,發版的節奏都像愛你的節奏


你關心的閉環

通過我-獵鷹發現這些事件只是前提,我們的運營夥伴在後續處置跟進上還有非常專業且完善的流程
事件通過指揮平台下發至客戶處,再經相關巡檢人員現場確認後,公司銷售、交付、安服、反病毒等團隊同學會立馬進行協同處置,最終在清理處置結束後,為客戶做到全面加固


感興趣的小夥伴可以留言哦~

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()