近日,中國人民銀行科技司發(fā)布了《金融行業(yè)態(tài)勢感知與信息共享平臺數(shù)據(jù)接入標準說明(試點)》,要求各級成員單位按照標準進行安全事件數(shù)據(jù)的上報對接以及威脅情報信息共享。此舉目標是實現(xiàn)對行業(yè)內(nèi)安全信息的總覽監(jiān)測、對態(tài)勢數(shù)據(jù)的綜合分析,上下統(tǒng)一調(diào)度指揮,幫助成員單位快速共享情報,形成對行業(yè)內(nèi)安全資產(chǎn)的風險管控,最終實現(xiàn)對整體金融行業(yè)信息安全的“可見、 可查、可控”。
在一期、二期試點階段,日志易積極參與該標準說明的調(diào)研與分析,推出了人行態(tài)勢感知數(shù)據(jù)上報和共享方案并成功協(xié)助多家金融客戶完成數(shù)據(jù)接入準備工作。方案詳細功能與特點如下:
人行態(tài)勢感知數(shù)據(jù)上報和共享方案· 功能
Ø數(shù)據(jù)接口
1.通過Syslog對接安全設備
2.根據(jù)安全設備接口通過讀取數(shù)據(jù)庫數(shù)據(jù)獲取病毒軟件安裝數(shù)或人工配置上報內(nèi)容
3.支持通過數(shù)據(jù)庫、文件、HTTP等方式獲取反欺詐數(shù)據(jù)
4.將數(shù)據(jù)上報到人行Kafka,同時需要消費人行下發(fā)的Kafka威脅情報數(shù)據(jù)
5.消費到的威脅情報數(shù)據(jù)需要能通過Syslog、數(shù)據(jù)庫、HTTP等方式推送至SIEM、態(tài)勢感知平臺
Ø數(shù)據(jù)解析
1.考慮到人行的字段規(guī)范可能與SIEM產(chǎn)品規(guī)范不一致,一條原始日志根據(jù)需求靈活解析出多種字段命名模板
2.可以靈活關聯(lián)各種字典表,如金融機構字典、資產(chǎn)字典、安全事件字典、地區(qū)字典等
3.可以靈活增加、刪除、修改上報的字段名和字段內(nèi)容
Ø數(shù)據(jù)清洗、聚合
1.通過界面靈活設置聚合統(tǒng)計規(guī)則,如按小時、按天統(tǒng)計
2.通過界面配置過濾條件,過濾不需要上傳人行的數(shù)據(jù)
3.通過界面配置臨時手動上傳數(shù)據(jù)
4.對上傳的數(shù)據(jù)支持復制一份到本地文件、數(shù)據(jù)庫,方便數(shù)據(jù)稽核
5.可提前進行告警降噪,只發(fā)送高可疑攻擊IP,減少上報數(shù)據(jù)量
Ø數(shù)據(jù)上傳、消費管理
1.支持數(shù)據(jù)處理(上傳、消費)全流程的數(shù)據(jù)質(zhì)量監(jiān)控:上傳速度、成功數(shù)、錯誤數(shù)、錯誤原因等
2.支持隨時界面啟停上傳和消費管道
3.支持隨時界面增、刪、改管道配置
4.支持界面撥測人行Kafka通道(上傳及消費)
人行態(tài)勢感知數(shù)據(jù)上報和共享方案· 特點
Ø可見性
1.上報流程編排可見性:整個上報的流程通過圖形化編排,配制完成整個數(shù)據(jù)上報的數(shù)據(jù)流、數(shù)據(jù)處理等步驟,提升平臺快速響應能力以及未來的擴展性
2.過程可見性:實時預覽整個數(shù)據(jù)的流轉處理過程,整個數(shù)據(jù)處理的過程“了然于胸”
3.數(shù)據(jù)識別可見性:各種非數(shù)據(jù)的處理,通過界面化或者現(xiàn)有模板進行識別
Ø可控性
1.發(fā)送狀態(tài)的控制機制:針對每種上報數(shù)據(jù)接口,支持單獨進行發(fā)送頻率、周期、狀態(tài)的控制,獨立進行管理
2.完整性控制機制:具備偏移量控制機制,保障在異常或者特殊維護場景下的數(shù)據(jù)斷點續(xù)發(fā)的能力
Ø可查性
1.發(fā)送數(shù)據(jù)可查性:在數(shù)據(jù)發(fā)送的過程中可同時創(chuàng)建副本,副本源支持文件、常見關系型數(shù)據(jù)庫、分布式搜索引擎等,體現(xiàn)發(fā)送數(shù)據(jù)審計的能力
2.發(fā)送統(tǒng)計能力:具備各類數(shù)據(jù)的發(fā)送內(nèi)容實時統(tǒng)計能力,實時查看數(shù)據(jù)整體的發(fā)送量、發(fā)送頻率、數(shù)據(jù)發(fā)送趨勢等信息
雖然金融業(yè)態(tài)勢感知與信息共享平臺的建設是為了滿足行業(yè)監(jiān)管及風險管控需求,促進防護協(xié)同,但其對于金融機構內(nèi)部的網(wǎng)絡安全信息化建設也具有重要的借鑒價值。例如對安全信息及數(shù)據(jù)的全面收集和接入,有助于實現(xiàn)全面總覽及綜合分析,從而做到全面的風險管控。
日志易安全分析平臺具備強大的數(shù)據(jù)采集接入能力,對各類安全數(shù)據(jù)實時接入,搭配日志易數(shù)據(jù)工廠產(chǎn)品,可以實現(xiàn)與各種安全及大數(shù)據(jù)平臺的數(shù)據(jù)共享,當然也能夠?qū)崿F(xiàn)對“金融業(yè)態(tài)勢感知與信息共享平臺”數(shù)據(jù)的接入和消費。日志易安全分析平臺能夠大大加強企業(yè)對各類威脅的檢測分析、追蹤溯源能力。
什么是日志易安全分析平臺?
日志易安全分析平臺兼具關聯(lián)分析和異常分析能力,全面支持各種威脅類型(已知威脅、可疑威脅以及未知威脅)的檢測、分析與響應。該平臺基于日志易自研的數(shù)據(jù)搜索引擎Beaver,通過流批處理計算框架,對企業(yè)的日志、流量數(shù)據(jù)進行深度關聯(lián),并結合資產(chǎn)信息、漏洞信息,進行威脅自動化響應處置,能夠大幅提高用戶在安全運營方面的決策能力。
圖:日志易安全分析平臺架構
1.全方位日志采集:全面采集安全設備、網(wǎng)絡設備、中間件、操作系統(tǒng)、數(shù)據(jù)庫、應用層日志。百萬級EPS日志流處理能力,PB級秒級日志溯源跟蹤能力。
2.統(tǒng)一威脅處置:內(nèi)置WEB安全、主機安全、合規(guī)安全等8大類常見的復雜事件處理檢測規(guī)則,自動關聯(lián)資產(chǎn)、漏洞以及威脅情報,并可對告警配置工單任務和阻斷動作(包含自動阻斷以及人工一鍵阻斷)。
3.南北向以及東西向流量異常檢測(NTA):可通過覆蓋企業(yè)全網(wǎng)的多個流量探針,對主流的應用、網(wǎng)絡協(xié)議進行采集和解析,還原流量數(shù)據(jù)進行溯源取證,并可對流量中的攻擊行為進行檢測。
4.端點進程監(jiān)控:結合Linux、Windows系統(tǒng)日志,分析其進程、賬號登錄、命令執(zhí)行等事件,發(fā)現(xiàn)異常行為,如異常父子進程、異常賬戶或異常命令執(zhí)行等可疑攻擊滲透行為,幫助用戶判斷攻擊結果(是否成功)。
5.調(diào)查取證:將威脅告警和異常事件映射到時間維度,提供分析事件之間前因后果關系的能力。以威脅告警為入口對攻擊鏈進行溯源,并通過遞進的關聯(lián)分析發(fā)現(xiàn)橫向擴展的行為。
6.任務管理:內(nèi)置工單系統(tǒng),并可靈活對接用戶環(huán)境的工單系統(tǒng),形成安全事件處置閉環(huán)和協(xié)同。
7.流程編排及自動化響應:全界面化Playbook編排,可通過API聯(lián)動各類安全設備/系統(tǒng),自動根據(jù)匹配規(guī)則選擇Playbook進行響應處置,自動完成IP阻斷、賬戶鎖定等常規(guī)動作。
8.威脅情報對接:支持對接在線開源、商用威脅情報庫以及離線情報導入,并與威脅告警進行關聯(lián),進一步提高威脅告警的準確度。
9.漏洞對接:對接開源、商用漏洞平臺,對誤報進行白名單處理,對低危漏洞或不關注之漏洞進行自動忽略或修復。
10.資產(chǎn)管理:通過對接CMDB、日志提取、批量導入、自發(fā)現(xiàn)等方式,自動感知全網(wǎng)資產(chǎn)的動態(tài)變化,為威脅告警補全資產(chǎn)信息。
11.多數(shù)據(jù)管道分發(fā)保障:結合日志易數(shù)據(jù)工廠產(chǎn)品,根據(jù)上級日志格式規(guī)范將同一數(shù)據(jù)來源ETL成不同數(shù)據(jù)格式,通過多數(shù)據(jù)管道將格式化日志分發(fā)到不同目的源。
12.態(tài)勢感知大屏:結合日志易大屏產(chǎn)品,將全網(wǎng)實時安全狀態(tài)集中展現(xiàn)到安全管理人員面前。
文章內(nèi)容僅供閱讀,不構成投資建議,請謹慎對待。投資者據(jù)此操作,風險自擔。
近日,德國柏林國際電子消費品展覽會(IFA2024)隆重舉辦。憑借在核心技術、產(chǎn)品設計及應用方面的創(chuàng)新變革,全球領先的智能終端企業(yè)TCL實業(yè)成功斬獲兩項“IFA全球產(chǎn)品設計創(chuàng)新大獎”金獎,有力證明了其在全球市場的強大影響力。
近日,中國家電及消費電子博覽會(AWE 2024)隆重開幕。全球領先的智能終端企業(yè)TCL實業(yè)攜多款創(chuàng)新技術和新品亮相,以敢為精神勇闖技術無人區(qū),斬獲四項AWE 2024艾普蘭大獎。
“以前都要去窗口辦,一套流程下來都要半個月了,現(xiàn)在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關材料,僅幾秒鐘,重慶市民曾某的賬戶就打進了21600元。
由世界人工智能大會組委會、上海市經(jīng)信委、徐匯區(qū)政府、臨港新片區(qū)管委會共同指導,由上海市人工智能行業(yè)協(xié)會聯(lián)合上海人工智能實驗室、上海臨港經(jīng)濟發(fā)展(集團)有限公司、開放原子開源基金會主辦的“2024全球開發(fā)者先鋒大會”,將于2024年3月23日至24日舉辦。