日志易推出人民銀行態(tài)勢感知數(shù)據(jù)上報和共享方案，助力金融機構實現(xiàn)人行數(shù)據(jù)接入與共享

　　近日，中國人民銀行科技司發(fā)布了《金融行業(yè)態(tài)勢感知與信息共享平臺數(shù)據(jù)接入標準說明(試點)》，要求各級成員單位按照標準進行安全事件數(shù)據(jù)的上報對接以及威脅情報信息共享。此舉目標是實現(xiàn)對行業(yè)內(nèi)安全信息的總覽監(jiān)測、對態(tài)勢數(shù)據(jù)的綜合分析，上下統(tǒng)一調(diào)度指揮，幫助成員單位快速共享情報，形成對行業(yè)內(nèi)安全資產(chǎn)的風險管控，最終實現(xiàn)對整體金融行業(yè)信息安全的“可見、 可查、可控”。

　　在一期、二期試點階段，日志易積極參與該標準說明的調(diào)研與分析，推出了人行態(tài)勢感知數(shù)據(jù)上報和共享方案并成功協(xié)助多家金融客戶完成數(shù)據(jù)接入準備工作。方案詳細功能與特點如下：

　　人行態(tài)勢感知數(shù)據(jù)上報和共享方案· 功能

　　Ø數(shù)據(jù)接口

　　1.通過Syslog對接安全設備

　　2.根據(jù)安全設備接口通過讀取數(shù)據(jù)庫數(shù)據(jù)獲取病毒軟件安裝數(shù)或人工配置上報內(nèi)容

　　3.支持通過數(shù)據(jù)庫、文件、HTTP等方式獲取反欺詐數(shù)據(jù)

　　4.將數(shù)據(jù)上報到人行Kafka，同時需要消費人行下發(fā)的Kafka威脅情報數(shù)據(jù)

　　5.消費到的威脅情報數(shù)據(jù)需要能通過Syslog、數(shù)據(jù)庫、HTTP等方式推送至SIEM、態(tài)勢感知平臺

　　Ø數(shù)據(jù)解析

　　1.考慮到人行的字段規(guī)范可能與SIEM產(chǎn)品規(guī)范不一致，一條原始日志根據(jù)需求靈活解析出多種字段命名模板

　　2.可以靈活關聯(lián)各種字典表，如金融機構字典、資產(chǎn)字典、安全事件字典、地區(qū)字典等

　　3.可以靈活增加、刪除、修改上報的字段名和字段內(nèi)容

　　Ø數(shù)據(jù)清洗、聚合

　　1.通過界面靈活設置聚合統(tǒng)計規(guī)則，如按小時、按天統(tǒng)計

　　2.通過界面配置過濾條件，過濾不需要上傳人行的數(shù)據(jù)

　　3.通過界面配置臨時手動上傳數(shù)據(jù)

　　4.對上傳的數(shù)據(jù)支持復制一份到本地文件、數(shù)據(jù)庫，方便數(shù)據(jù)稽核

　　5.可提前進行告警降噪，只發(fā)送高可疑攻擊IP，減少上報數(shù)據(jù)量

　　Ø數(shù)據(jù)上傳、消費管理

　　1.支持數(shù)據(jù)處理(上傳、消費)全流程的數(shù)據(jù)質(zhì)量監(jiān)控：上傳速度、成功數(shù)、錯誤數(shù)、錯誤原因等

　　2.支持隨時界面啟停上傳和消費管道

　　3.支持隨時界面增、刪、改管道配置

　　4.支持界面撥測人行Kafka通道(上傳及消費)

　　人行態(tài)勢感知數(shù)據(jù)上報和共享方案· 特點

　　Ø可見性

　　1.上報流程編排可見性：整個上報的流程通過圖形化編排，配制完成整個數(shù)據(jù)上報的數(shù)據(jù)流、數(shù)據(jù)處理等步驟，提升平臺快速響應能力以及未來的擴展性

　　2.過程可見性：實時預覽整個數(shù)據(jù)的流轉處理過程，整個數(shù)據(jù)處理的過程“了然于胸”

　　3.數(shù)據(jù)識別可見性：各種非數(shù)據(jù)的處理，通過界面化或者現(xiàn)有模板進行識別

　　Ø可控性

　　1.發(fā)送狀態(tài)的控制機制：針對每種上報數(shù)據(jù)接口，支持單獨進行發(fā)送頻率、周期、狀態(tài)的控制，獨立進行管理

　　2.完整性控制機制：具備偏移量控制機制，保障在異常或者特殊維護場景下的數(shù)據(jù)斷點續(xù)發(fā)的能力

　　Ø可查性

　　1.發(fā)送數(shù)據(jù)可查性：在數(shù)據(jù)發(fā)送的過程中可同時創(chuàng)建副本，副本源支持文件、常見關系型數(shù)據(jù)庫、分布式搜索引擎等，體現(xiàn)發(fā)送數(shù)據(jù)審計的能力

　　2.發(fā)送統(tǒng)計能力：具備各類數(shù)據(jù)的發(fā)送內(nèi)容實時統(tǒng)計能力，實時查看數(shù)據(jù)整體的發(fā)送量、發(fā)送頻率、數(shù)據(jù)發(fā)送趨勢等信息

　　雖然金融業(yè)態(tài)勢感知與信息共享平臺的建設是為了滿足行業(yè)監(jiān)管及風險管控需求，促進防護協(xié)同，但其對于金融機構內(nèi)部的網(wǎng)絡安全信息化建設也具有重要的借鑒價值。例如對安全信息及數(shù)據(jù)的全面收集和接入，有助于實現(xiàn)全面總覽及綜合分析，從而做到全面的風險管控。

　　日志易安全分析平臺具備強大的數(shù)據(jù)采集接入能力，對各類安全數(shù)據(jù)實時接入，搭配日志易數(shù)據(jù)工廠產(chǎn)品，可以實現(xiàn)與各種安全及大數(shù)據(jù)平臺的數(shù)據(jù)共享，當然也能夠?qū)崿F(xiàn)對“金融業(yè)態(tài)勢感知與信息共享平臺”數(shù)據(jù)的接入和消費。日志易安全分析平臺能夠大大加強企業(yè)對各類威脅的檢測分析、追蹤溯源能力。

　　什么是日志易安全分析平臺？

　　日志易安全分析平臺兼具關聯(lián)分析和異常分析能力，全面支持各種威脅類型(已知威脅、可疑威脅以及未知威脅)的檢測、分析與響應。該平臺基于日志易自研的數(shù)據(jù)搜索引擎Beaver，通過流批處理計算框架，對企業(yè)的日志、流量數(shù)據(jù)進行深度關聯(lián)，并結合資產(chǎn)信息、漏洞信息，進行威脅自動化響應處置，能夠大幅提高用戶在安全運營方面的決策能力。

　　圖：日志易安全分析平臺架構

　　1.全方位日志采集：全面采集安全設備、網(wǎng)絡設備、中間件、操作系統(tǒng)、數(shù)據(jù)庫、應用層日志。百萬級EPS日志流處理能力，PB級秒級日志溯源跟蹤能力。

　　2.統(tǒng)一威脅處置：內(nèi)置WEB安全、主機安全、合規(guī)安全等8大類常見的復雜事件處理檢測規(guī)則，自動關聯(lián)資產(chǎn)、漏洞以及威脅情報，并可對告警配置工單任務和阻斷動作(包含自動阻斷以及人工一鍵阻斷)。

　　3.南北向以及東西向流量異常檢測(NTA)：可通過覆蓋企業(yè)全網(wǎng)的多個流量探針，對主流的應用、網(wǎng)絡協(xié)議進行采集和解析，還原流量數(shù)據(jù)進行溯源取證，并可對流量中的攻擊行為進行檢測。

　　4.端點進程監(jiān)控：結合Linux、Windows系統(tǒng)日志，分析其進程、賬號登錄、命令執(zhí)行等事件，發(fā)現(xiàn)異常行為，如異常父子進程、異常賬戶或異常命令執(zhí)行等可疑攻擊滲透行為，幫助用戶判斷攻擊結果(是否成功)。

　　5.調(diào)查取證：將威脅告警和異常事件映射到時間維度，提供分析事件之間前因后果關系的能力。以威脅告警為入口對攻擊鏈進行溯源，并通過遞進的關聯(lián)分析發(fā)現(xiàn)橫向擴展的行為。

　　6.任務管理：內(nèi)置工單系統(tǒng)，并可靈活對接用戶環(huán)境的工單系統(tǒng)，形成安全事件處置閉環(huán)和協(xié)同。

　　7.流程編排及自動化響應：全界面化Playbook編排，可通過API聯(lián)動各類安全設備/系統(tǒng)，自動根據(jù)匹配規(guī)則選擇Playbook進行響應處置，自動完成IP阻斷、賬戶鎖定等常規(guī)動作。

　　8.威脅情報對接：支持對接在線開源、商用威脅情報庫以及離線情報導入，并與威脅告警進行關聯(lián)，進一步提高威脅告警的準確度。

　　9.漏洞對接：對接開源、商用漏洞平臺，對誤報進行白名單處理，對低危漏洞或不關注之漏洞進行自動忽略或修復。

　　10.資產(chǎn)管理：通過對接CMDB、日志提取、批量導入、自發(fā)現(xiàn)等方式，自動感知全網(wǎng)資產(chǎn)的動態(tài)變化，為威脅告警補全資產(chǎn)信息。

　　11.多數(shù)據(jù)管道分發(fā)保障：結合日志易數(shù)據(jù)工廠產(chǎn)品，根據(jù)上級日志格式規(guī)范將同一數(shù)據(jù)來源ETL成不同數(shù)據(jù)格式，通過多數(shù)據(jù)管道將格式化日志分發(fā)到不同目的源。

　　12.態(tài)勢感知大屏：結合日志易大屏產(chǎn)品，將全網(wǎng)實時安全狀態(tài)集中展現(xiàn)到安全管理人員面前。