带土字旁的男孩名字近日,中国人民银行科技司发布了《金融行业态势与信息共享平台数据接入标准说明(试点)》,要求各级单位按照标准进行安全事件数据的上报对接以及情报信息共享。此举目标是实现对行业内安全信息的总览监测、对态势数据的综合分析,上下统一调度指挥,帮助单位快速共享情报,形成对行业内安全资产的风险管控,最终实现对整体金融行业信息安全的“可见、 可查、可控”。
在一期、二期试点阶段,日志易积极参与该标准说明的调研与分析,推出了人行态势数据上报和共享方案并成功协助多家金融客户完成数据接入准备工作。方案详细功能与特点如下:
5.消费到的情据需要能通过Syslog、数据库、HTTP等方式推送至SIEM、态势平台
1.考虑到人行的字段规范可能与SIEM产品规范不一致,一条原始日志根据需求灵活解析出多种字段命名模板
1.上报流程编排可见性:整个上报的流程通过图形化编排,配制完成整个数据上报的数据流、数据处理等步骤,提升平台快速响应能力以及未来的扩展性
1.发送状态的控制机制:针对每种上据接口,支持单独进行发送频率、周期、状态的控制,进行管理
1.发送数据可查性:在数据发送的过程中可同时创建副本,副本源支持文件、常见关系型数据库、分布式搜索引擎等,体现发送数据审计的能力
2.发送统计能力:具备各类数据的发送内容实时统计能力,实时查看数据整体的发送量、发送频率、数据发送趋势等信息
虽然金融业态势与信息共享平台的建设是为了满足行业监管及风险管控需求,促进防护协同,但其对于金融机构内部的网络安全信息化建设也具有重要的借鉴价值。例如对安全信息及数据的全面收集和接入,有助于实现全面总览及综合分析,从而做到全面的风险管控。
日志易安全分析平台具备强大的数据采集接入能力,对各类安全数据实时接入,搭配日志易数据工厂产品,可以实现与各种安全及大数据平台的数据共享,当然也能够实现对“金融业态势与信息共享平台”数据的接入和消费。日志易安全分析平台能够大大加强企业对各类的检测分析、追踪溯源能力。
日志易安全分析平台兼具关联分析和异常分析能力,全面支持各种类型(已知、可疑以及未知)的检测、分析与响应。该平台基于日志易自研的数据搜索引擎Beaver,通过流批处理计算框架,对企业的日志、流量数据进行深度关联,并结合资产信息、漏洞信息,进行自动化响应处置,能够大幅提高用户在安全运营方面的决策能力。
1.全方位日志采集:全面采集安全设备、网络设备、中间件、操作系统、数据库、应用层日志。百万级EPS日志流处理能力,PB级秒级日志溯源能力。
2.统一处置:内置WEB安全、主机安全、合规安全等8大类常见的复杂事件处理检测规则,自动关联资产、漏洞以及情报,并可对告警配置工单任务和阻断动作(包含自动阻断以及人工一键阻断)。
3.南北向以及东西向流量异常检测(NTA):可通过覆盖企业全网的多个流量探针,对主流的应用、网络协议进行采集和解析,还原流量数据进行溯源取证,并可对流量中的行为进行检测。
4.端点进程:结合Linux、Windows系统日志,分析其进程、账号登录、命令执行等事件,发现异常行为,如异常父子进程、异常账户或异常命令执行等可疑渗透行为,帮助用户判断结果(是否成功)。
5.调查取证:将告警和异常事件映射到时间维度,提供分析事件之间前因后果关系的能力。以告警为入口对链进行溯源,并通过递进的关联分析发现横向扩展的行为。
7.流程编排及自动化响应:全界面化Playbook编排,可通过API联动各类安全设备/系统,自动根据匹配规则选择Playbook进行响应处置,自动完成IP阻断、账户锁定等常规动作。
8.情报对接:支持对接在线开源、商用情报库以及离线情报导入,并与告警进行关联,进一步提高告警的准确度。
9.漏洞对接:对接开源、商用漏洞平台,对误报进行白名单处理,对低危漏洞或不关注之漏洞进行自动忽略或修复。
10.资产管理:通过对接CMDB、日志提取、批量导入、自发现等方式,自动全网资产的动态变化,为告警补全资产信息。
11.多数据管道分发保障:结合日志易数据工厂产品,根据上级日志格式规范将同一数据来源ETL成不同数据格式,通过多数据管道将格式化日志分发到不同目的源。