SIEM作为安全运营中心(SOC)的“大脑”,专注于海量日志的集中管理、实时关联分析、合规审计以及告警优先级的排序,它不仅仅是一个日志收纳箱,更是一个具备高级分析能力的威胁检测与合规管理平台。我们的SIEM支持以下功能:
全量数据采集与异构日志工程化处理
数据采集与处理,SIEM的根基在于数据。企业级产品必须具备“全场景”的数据接入能力,并解决数据格式千差万别的核心痛点。
日志收集与归一化:支持通过Syslog、Agent、API、SNMP等多种协议采集防火墙、服务器、网络设备、应用、数据库、云服务等各类日志,并将异构日志解析为标准字段(归一化),消除数据孤岛。
异构数据源接入:支持从网络边界(防火墙、IDS/IPS)、端点安全(EDR、防病毒)、应用系统(Web服务器、数据库、中间件)、云平台(AWS CloudTrail、Azure Monitor)及身份管理(AD、IAM)等各类基础设施中采集数据。采集协议需覆盖Syslog、SNMP Trap、WMI、RESTful API、Kafka、NetFlow/IPFIX及各类Agent 。数据归一化与富化:原始日志往往是“方言”,SIEM需通过解析器将其翻译成统一的“普通话”(结构化JSON/KV格式)。工程化能力体现在对时间戳的归一、IP地理信息标记、资产信息补全以及用户名映射,将“IP 192.168.1.1 访问失败”转化为“来自研发部张三的办公终端(资产价值高)发生认证失败” 。
冷热数据分层存储:为平衡海量数据下的查询性能与存储成本,产品需支持热数据(近期高频查询)、温数据、冷数据(归档合规)的分层存储策略,并具备透明压缩能力。
高性能存储:支持热、温、冷数据分层存储,满足海量日志的长期保存需求,同时保证热数据的查询效率。
高性能关联分析引擎与威胁检测实时分析与威胁检测,这是SIEM区别于普通日志检索工具的核心智力所在。我们自研内置的关联引擎将孤立的事件串联成完整的攻击链。
多维度关联规则基于规则的关联:支持时序关联(如:5分钟内同一IP触发5次不同漏洞扫描),满足复杂逻辑的嵌套条件判断。
基于统计的关联:利用基线模型识别偏离(如:凌晨3点服务器产生大量DNS请求,偏离日常基线)。
跨源事件图谱构建:将端点告警、网络流量异常、身份认证日志自动关联,还原攻击路径(例如:钓鱼邮件附件激活 -> 恶意进程创建 -> 连接C2服务器 -> 横向移动)。
威胁情报集成联动:对接外部威胁情报源,将内网日志中的IP、域名、文件Hash与情报数据进行碰撞匹配,发现已知的恶意IOC(失陷指标)。支持对接商业或开源威胁情报(STIX/TAXII标准),对日志中的IP、域名、Hash进行实时碰撞。高级特性在于不仅告知“这个IP是恶意的”,还能解释“这是一类针对财务系统的勒索软件C2节点”,提供决策上下文 。
实时事件关联:通过预定义或自定义的关联规则,对多个不同来源的事件进行时序关联,识别多阶段攻击(如“登录失败” + “密码重置成功” + “数据导出”)。
用户与实体行为分析(UEBA):利用机器学习建立用户和资产的正常行为基线,检测偏离基线的异常行为(如非常规时间登录、大量数据下载),用于发现内部威胁或账户失陷。
响应编排与自动化(SOAR集成)
SIEM若发现威胁却无法快速处置,价值将大打折扣。我们集成了自研的安全编排、自动化与响应(SOAR)能力。内置或集成安全编排自动化与响应(SOAR)能力,在检测到确认事件(如勒索软件)时,触发自动化的响应剧本,实现秒级封禁IP、隔离主机等操作。
低代码剧本编排:提供可视化拖拽界面,预设针对常见场景(如钓鱼邮件、暴力破解、挖矿木马)的处置剧本。剧本覆盖告警研判(自动查询情报确认恶意度)、遏制(调用防火墙API封禁IP)、取证(触发EDP远程获取内存快照)和工单派发 。
人机协同与战时间:针对高风险操作(如隔离核心数据库),剧本执行至关键节点自动挂起,需人工电子签批后执行,确保业务连续性。
更多详情功能模块欢迎联系咨询我们,同时我们所有产品全都自持定制化开发服务。网络安全产品
