大数据平台支撑技术
海量数据处理
腾讯多年的大数据分析处理能力赋能到安全运营中心平台中,使得本产品在以下几个方面优势明显:
海量数据处理能力
安全运营中心支持 PB 级别的数据分析与存储。
数据处理性能
流量处理能力达到10Gbps,并可支持平行扩展。
多种数据聚合
安全运营中心具备支持不同来源、不同类型、不同格式的数据聚合能力。具体数据源包括以下几方面:
网络流量
通过将核心交换或其他网络节点上的流量旁路到智能态势感知平台的流量探针。
设备、主机和系统日志
支持主流网络设备日志、Windows 系统日志、Linux 系统日志等。
业务及应用的日志
支持 Web 服务器日志(IIS 日志、nginx 等常见 Web 日志)、代理服务器日志、FTP 日志、VPN 日志、RDP 日志、主流数据库日志等。
安全设备事件日志(告警日志)
支持安全设备、安全软件的安全事件日志(例如:蜜罐、哈勃沙箱的分析日志)、防火墙、WAF 的拦截日志以及终端安全软件日志。
无代码扩展安全检测能力
安全运营中心的 AI 引擎运用了基于 AI 的分析和检测技术,将腾讯在 AI 方面的探索应用于网络安全,使用传统规则引擎与机器学习智能算法相结合的分析技术,配合丰富的业务场景与安全场景,最终实现风险发现和威胁检测的能力,即安全感知。
安全监测手段
基于特征、统计及关联规则的威胁感知。
基于威胁情报匹配的威胁感知。
基于机器学习的流量异常感知。
覆盖的部分典型场景
内部威胁
能够有效识别异常的主机行为、用户行为(例如:发现对关键资产的异常访问、敏感数据的外发等),进而识别口令失窃、越权访问、内鬼等企业内部的安全威胁。
横向移动
黑客在攻陷某一主机后,为扩大控制范围会尝试横向移动(例如:扫描、爆破、文件感染、流量代理等)。安全运营中心能够检测到攻击者的这类横向移动行为。
黑客牟利
能够检测到典型的黑客牟利手段和对应恶意行为(例如:外发垃圾邮件、对外扫描、爆破、刷广告、挖矿等)。
隐蔽通道检测
能够检测 DGA 等较为隐蔽的 C2 方法,能够检测 DNS 隧道、文件类型伪造等用于隐蔽数据传输的方法。
恶意流量识别
能够使用不基于特征的智能检测模型从网络流量中识别到恶意软件的通信流量,进而识别出疑似失陷主机和 C2 服务器。
APT 攻击
能够对来路不明的对象(例如:邮件附件、可疑链接等),结合沙箱进行深度分析,判定其恶意性,进而提升 APT 攻击的对抗能力。
异常行为风险检测能力
通过采集全方位多维度的安全事件信息、用户信息和资产信息等数据,进行行为基线分析和群体异常分析、用户实体画像分析、结合智能AI机器学习异常检测模型,基于动态评分技术,能够快速发现高风险用户和设备,并能够通过时间线查看异常事件的上下文信息,提高风险定位和详情查看以及快速响应的能力。
支持基于用户实体行为分析的威胁发现能力,对 VPN、堡垒机、Linux、终端和安全设备等多种数据源日志,通过风险检测引擎实现对账号失陷、凭证盗用、横向移动等场景的检测分析能力。
使用企业内部人员的 HR 数据、资产数据、业务访问数据和登录活动等信息,能够监测内部人员风险行为,并能够结合 AI 引擎来识别用户合法登录后的风险行为,包含资源过度访问、数据量过量下载/外发、账号权限授权和异常使用、僵尸账户发现等场景。
安全编排与自动化响应(SOAR)
高效率的安全运营离不开安全编排与自动化响应(Security Orchestration, Automation and Response,SOAR)。腾讯 SOAR 积累了腾讯安全丰富的运营经验与安全运营中心对接,为用户提供不一样的安全运营视角:
原子化安全设备动作,按照一定的顺序和逻辑进行组合,形成剧本。
通过编排好的安全剧本执行自动化调度和联动安全设备。
开展快速的标准化、自动化的应急响应处置,提升 MTTR 水平。
响应联动处置能力
与安全运营中心联动的网络入侵防护系统,是一款依靠旁路部署实现旁路阻断和 IP 封禁的设备,同时提供阻断 API 与高级威胁检测系统进行联动,实现安全威胁的闭环处置,在不影响企业业务的情况下,实现快速封禁和阻断。
威胁情报能力
百亿级恶意文件样本库、数亿级 IP 信誉库、域名信誉库、木马病毒样本、日均新增100W+、数千万级恶意网址、高质量情报云查、数十万级漏洞情报等安全运营中心内置的威胁情报关联能力,在关联分析中能够将系统采集到的流量、各种安全日志和事件与威胁情报进行碰撞比对。
生动酷炫的态势感知大屏
基于对用户心理、交互行为和安全的理解,安全运营中心的可视化呈现方式引入了腾讯在大屏展示方面的优势,利用先进的可视化技术打造了 3D 可视大屏,用户很容易看清业务、看见风险和威胁。
同时,安全运营中心提供高度自定义视图模式,能够让安全运营管理人员更高效地进行风险、威胁处置和溯源分析。