优秀的技术架构
腾讯云多年的大数据架构技术,以及云原生安全技术、检测和分析能力赋能到 SOC,为企业客户提供腾讯云多年的安全能力和经验,帮助其安全能力建设的快速搭建和落地。
安全大数据技术流批处理+冷热数据分离
流批计算处理:平台支持基于 Flink 流式处理引擎的日志实时计算、支持基于 Spark 批处理计算特征模型建模和机器学习,来支撑关联分析、行为异常检测和安全智能检测等安全检测场景。
热/温/冷数据分离:平台提供 ElasticSearch、ClickHouse 和 HDFS 等大数据存储技术,为不同业务场景提供了合适的存储方案,实现海量告警、日志、流量数据和事件模型的热/温/冷数据分离,为高价值数据提供了更长时间的存储空间,为海量数据提供了更快的查询响应效率。
云原生技术混合多云多租户管理
平台提供云原生部署和接入能力,支持接入混合多云场景下,云上、云下以及传统 IDC 机房中各类基础安全数据,包括第三方设备日志、资产和漏洞数据,以及自研和异构 SOC 数据。
平台提供多租户管理能力,具备2大类角色:租户和平台运营。平台运营账号能够基于 SOC 对全部数据做集中管理和运营,协助或者纳管租户数据。
海量数据处理与扩展能力
海量数据处理能力:支持异构日志的采集、解析和存储,实时处理性能高达2万 EPS。
流量处理性能:流量检测能力达到10Gbps,并可支持平行扩展。
海量数据分析与存储:支持 PB 级数据的分析与存储,百亿数据查询速度秒级响应。
平台扩展性:支持平台集群横向扩展,以适应客户逐步发展的业务需求。
完善的检测手段
SOC 为客户提供完善检测手段,包括网络流量入侵检测、威胁情报、多源关联分析、实体行为分析(UEBA)、安全 AI 智能检测。为客户构建完善、立体的威胁检测工具,及时发现威胁和风险让企业没有安全盲点。
在强大的检测能力基础上,SOC 建立了基于 ATT&CK 知识矩阵构建安全检测评价体系。提供威胁可视能力,内置告警策略 ATT&CK 覆盖率高达74%,超越国内安全厂商。
专家经验产品化
腾讯安全具备一支优秀的人才团队,实战化能力与国际安全评价标准体系接轨。安全专家在为海量的腾讯云和专有云客户提供日常安全服务过程中,将自身积累的技术能力、处置方法、流程和成功落地经验转换成为标准产品功能,不断融入到 SOC 产品中,持续提升产品的实战攻防能力。
这里介绍沉淀产品功能之一自动化事件分析调查:支持针对告警线索展开自动化调查,生成待处置分析的安全事件。支持自动将威胁告警基于影响资产、时间线、ATT&CK 技战术进行关联,自动还原攻击过程,采集战术、技术、过程和相关上下文,以及受影响资产信息。内置专家经验模型,自动识别安全事件,消除分析师告警处置疲劳,事件量级控制在百条内。
标准化安全运营体系
基于安全攻防实战经验总结的标准化运营体系
除了为客户提供专业的安全运营工具和管理平台,SOC 产品团队也为不同建设阶段的客户,基于 SOC 配套提供了一套标准化、体现化的安全运营体系指导文档。帮助客户建设 SOC 的过程中,同步搭建自己的、符合其业务场景的安全运营体系和流程,培训和指导安全运营团队规范化使用 SOC,实现跨团队之间的高效协作与沟通。主要涉及的领域包括:
安全运营规划建设。
安全运营评价体系。
安全运营技术标准。
安全运营流程规范。
安全运营服务、手册、案例及 FAQ。
基于 MITRE ATT&CK 安全能力覆盖评价体系
企业信息安全管理人员一直有一个困扰,企业需要对真实具备的安全能力或安全建设成熟度进行客观评价,及时发现安全能力的不足或隐患。目前网络安全行业广泛接受的是 MITRE 机构提出的 ATT&CK 框架,SOC 基于 ATT&CK 知识矩阵构建安全检测评价体系,具备以下优势:
以 ATT&CK 框架评价安全指标。
支持对关联规则 ATT&CK 配置。
提供告警、事件所处的 ATT&CK 战术阶段展示。
从而为客户带来收益有:
更方便的理解告警、事件中的攻击战术和技术。
更快速的评估企业威胁检测能力覆盖度。
更直观的查看到告警、安全事件所处的战术攻击阶段。
