星盘——基于安全数据驱动的网络安全运营与指挥平台

星盘是一款基于大数据、流计算等数字技术,实现“真正意义上”的全网安全告警降噪优化、整体安全威胁关联分析、任意安全设备联动指挥,以及资产、漏洞、用户统一化管理的安全数据智能平台。帮助用户构建持续性安全建设与运营的框架,真正意义上平衡效率与安全,实现两者之间的完美统一,为打造零信任、纵深防御、联防联控、UEBA、数据安全等提供了可执行的操作路径。

持续性安全建设与运营框架

用户需要的是一个可盘活现有安全设备检测能力,构建统一数字化安全运营体系的框架

现网所有安全设备日志对接

将日志治理成结构化数据

各种好用的检索分析工具

实现跨设备的安全威胁场景策略配置

能够感知全网安全风险与细节

实现实时预警

能够自动化响应

用户侧需求

平台侧功能

持续性安全建设与运营框架持续性安全建设与运营框架

真正意义上平衡效率与安全,实现两者之间的完美统一

(打造0信任、纵深防御、联防联控、UEBA、数据安全等提供了可执行的操作路径)

数据集成

数据治理

基础分析

策略建模

研判分析

智能预警

安全处置

  • 以用户为中心,中立、标准、开放、无差别数据集成能力

    全流程数据处理

    围绕数据使用过程,提供全栈式的数据集成功能,让用户轻松将原始杂乱数据提炼成各种安全数据模型。

    多方式数据采集

    支持多种协议\渠道采集,如UDP、kafka、文件等,支持安装agent主动实时采集,支持场景化脚本定制采集。

    无生态厂商绑定

    用户可自由对接国内外厂商各种安全产品、设备、应用等数据,不存在围绕某个生态只集成所属生态内产品的情况。

  • 功能特性

    1.将操作节点抽象成两类节点:条件节点,加工节点;条件节点用于数据过滤,确定数据加工对象,加工节点用于每次加工操作类型。

    2.加工节点后面可无限制追加加工节点,类似流水线,直到数据解析完成为止。

    3.过程当中产生的垃圾字段、过程字段、无意义字段等都可删除。

    技术优势

    1.实现了一套操作简便、一步到位、流水线式的数据ETL操作模式,业界首创。

    2.用户可自行配置,厂商可持续积累ETL规则。

  • 窃密员工以较低的频率窃取CRM数据

    安全策略建模能力

    封装30+安全运营场景所需的安全算子。

     

    封装6+安全规则模板,屏蔽底层复杂的算法逻辑,实现高度灵活的策略模型配置能力。

    任意安全事件关联能力

    超越行业关联能力限制,实现任意数量的安全事件关联分析。

     

    具备场景关联、情景关联等纵向关联能力。

    实时检测与策略回溯

    从数据采集到分析出结果实现毫秒级别检测。

     

    基于收敛的安全策略模型,支持把过去历史数据进行回测,挖掘过去的风险。

    内置大量安全策略模型

    平台内置通用级各种安全策略模型100+,开箱即用。

     

    安全威胁场景覆盖“安全攻防”、“人员内控”、“数据安全”等三大安全分析领域。

  • 标准处置

    平台支持在安全告警处置过程当中,实现处置过程记录、跟踪、闭环、复盘。

    一键处置

    在实现标准化处置的基础上,构建自动化处置脚本,在安全告警处置过程当中,实现“一键处置”,提高处置效率。

    人机对抗

    平台可实现攻击源、账号、资产、域名等事件主体,触发不同的安全威胁场景时,自动的调用拦截脚本,实现“人机对抗”。

    人机共治

    在处置过程中,平台可支持复杂的处置过程剧本构建,实现“人机共治”。

核心能力

平台优势

包容性

扩展性

灵活性

复用性

不管是哪家安全厂商的安全设备的数据,该平台都能对接、治理、分析、联动。

该平台为分布式架构设计,任意组件均支持横向、纵向扩展,实现对整体性能的线性提升。

该平台是基于实战打造的安全运营框架,该框架的数据对接、治理、建模、联动等功能组件设计极为灵活,配置空间极大,足以支撑各类复杂的安全运营场景。

该平台对接各类安全设备的日志,所沉淀的安全数据治理模板、安全策略模型、联动剧本,都可以沉淀下来,让单位不会随安全人员流动带来安全能力的丧失。

平台价值

平台落地前

安全设备众多,每日产生安全日志近数亿+,安全告警泛滥;

平台落地后

安全事件研判分析需要安全专家耗费几小时挨个到设备上排查才可能有结果;

安全事件调查取证需要安全专家耗费几天时间挨个到设备上排查才可能有结果;

安全处置需要人工挨个到边界设备上配置拦截策略,再熟练的情况下,也要花费至少半小时;

各类安全设备提供自有的安全工单处置流程,各自为战,工单处置分散且效率极低。

安全设备统一归集至该平台,经过策略建模、关联分析后每日安全告警40+;

平台基于关联分析手段,将某个攻击源在全网范围的安全风险行为进行全部关联展示,在10分钟内就可判断该攻击源的所有安全事件风险;

基于平台提供的检索、分析、研判等手段,安全专家只需在2个小时内就能排查结果;

基于平台联动指挥SOAR能力,实现秒级别一键处置、全自动化处置。

平台统一安全事件监测、预警、触发工单,对接工单系统,实现全网工单标准化\规范化,大幅度提升工单处置效率。

安全告警

研判分析

调查取证

安全处置

工单结合

平台框架

技术创新

多种数据维度

场景化的风险

多种算法因子

多种滑动时间窗口

一种新型的大数据安全风险挖掘的范式

思路

实践

壁垒

通过多种数据维度、多种滑动时间窗口、多种算法因子穷举海量风险指标的方式,构建了一种从海量安全数据实时挖掘安全威胁的一种创新型范式。

基于风险指标、安全规则、安全策略自主研发了一套自动化策略模型构建的大数据安全威胁检测引擎,实现企业整体安全威胁实时检测,关联分析,智能预警等技术目标,对比“Flink”更轻量级,更场景化,更易落地。

1、该平台完美平衡了在该领域业界难以平衡快、准、稳三大核心指标;

2、整个海量、复杂的计算过程(检测&预警)毫秒级别完成;

3、“任意”数量的安全事件关联能力;

4、实现了安全场景所需大量的基础指标与基线指标30+,业内5+;

5、同类竞品资源消耗1:3。