来吧，展示|长亭安全运营平台实战能力全景-云巴巴

立即咨询

立即试用

商务合作

2022-05-23

而理想状态，一般并不存在，找到适合企业需求的，才是最优选项。

万象（COSMOS）安全分析与管理平台，累积长亭实战能力，应用于攻防对抗场景，为企业安全运营管理落地提供更优解。

让我们一起揭开万象（COSMOS）安全运营平台实战能力的神秘面纱。

架构和底座

平台的技术路径和算法如同基因与血液，决定产品能力上限。万象（COSMOS）安全分析与管理平台在架构和技术选型上秉持新、轻、便原则，突破传统安全运营工具的能力边界。

高性能数据架构，夯实技术底座

在安全分析类平台中，选用最新的大数据组件，是产品的后发优势。

平台采用基于Hdfs、Yarn、Hive、Hbase、Spark、Flink、Elasticsearch等大数据分析场景的高性能开源组件，对数据完成实时流式分析、离线周期分析和离线手动分析，帮助用户在理解数据的基础上快速获取风险分析能力，高效应对不断迭代的风险难题，输出高可信告警。

平台提供软、硬件集群部署能力及容器化部署能力，可以解决部署迟缓、性能不足、数据堵塞、分析耗资源等问题，多计算引擎横向扩展，可实现安全计算资源上云弹性伸缩，以便于适应业务增长导致的数据规模变化。

多源采集接口，奠定分析基础

问渠哪得清如许，唯有源头活水来。

在每一个用户的实际生产环境中，不同型号、技术、厂商的网络设备、安全设备、主机/终端和应用夜以继日的运行，现有安全运营产品应该走出只有单产品可接入、自家产品可接入的“怪圈”。

实战化态势感知平台兼容主动、被动的主流数据获取方式——

Syslog、文件FTP/SFTP、数据库、全流量镜像等，支持接入监控并管理设备
内置20+主流厂商、80+种类设备自动化解析能力，可直接接入标准日志
支持零基础数据泛化，可以JSON、XML、键值对、正则等多种方式解析，同时支持嵌套解析
支持API方式对接威胁情报系统，支持自定义导入、导出、编辑威胁情报，形成本地化、多来源的威胁情报管理平台，增强分析效果

“千人千面”高交互策略，安全正向循环

安全运营平台进化中，数据分析基于业务实现“千人千面”不再是空谈。

交互无论是分析规则的编辑和SOAR剧本的设计，图形可视化的界面和IDE开发环境，便于用户自身使用和技术人员调整。

实战化安全运营平台能够快速定位恶意IP/用户及攻击手法，同时提供日志payload以供溯源分析，完成策略调整，将主动防御与被动信息处理相结合，形成“拦截/报警-响应-修复-归档”自动化处置流程，实现安全正向循环。

检测与分析

多算法内核引擎，层次化研判

除了在攻防中积累的规则库，长亭的流量检测技术中也运用先进算法，最大限度增强检测精准性(低误报、低漏报)。

语义分析引擎：针对Web流量对目标字符串依次进行词法分析、语法分析、语义分析，结合安全威胁模型打分，实现Web攻击精准监测
基线分析引擎：基于数值建立基线区间，串联关联分析工具，快速应用到关联分析规则配置中，发现异常数据从而实现异常基线分析
多个监测模型引擎：DGA域名检测引擎、DNS隐匿信道引擎等，实现提取DGA发送载体行为特征进行恶意DGA域名定位，以及DNS隧道检测

一方面，将检测能力引擎化，最大可能减少特征规则使用，在原始流量检测时无需维护、方便易用；另一方面，平台内置大数据引擎和白盒化规则，对检测日志、资产数据、情报信息关联分析，且能同时规避规则叠加太多导致速度变慢的问题。

白盒化数据，可“回溯“关联分析

边界、内网、云上、办公环境，每一个维度的危险告警都可能存在点、线、面不同的分布，恰当、合理的分析逻辑可以让效果“事半功倍”。

基于实战化的安全运营平台，集成阿里达摩院智能化安全分析能力，在安全事件发生后，依据事件特征进行时序关系、因果关系、逻辑关系等深层次关联，对安全事件产生的过程进行回溯。

通过采集的数据，利用分析规则进行分类量化，从脆弱性、资产、攻击、威胁等多个维度，进行事件与脆弱性关联、事件与事件关联、事件与资产关联等多次关联，利用关联结果进行事件维度的安全透视，及时感知未知威胁，输出高可信、高精准的风险研判结果。

产品关联分析能力界面

分析逻辑

以恶意文件事件传播过程进行分析，通过关联流量分析引擎与深度协议分析设备日志，发现可疑文件在网络中的安全告警；
利用流量还原技术，对可执行文件做沙箱、逆向、防跟踪等技术分析，确定恶意文件存在网络中，并对文件类型、文件行为特征进行多维感知；
通过关联防火墙日志、流量分析日志、沙箱可执行文件分析结果，利用关联定位网页访问、邮件附件挂马等行为，确定恶意文件传播的方式；
通过关联流量分析结果，获取恶意文件上传和下载URL、IP等，确认恶意文件影响的资产范围等。

编排和处置

依赖人工完成事件处置仍是当下主流，人工研判、跨部门沟通协调带来的效率损耗延长了处置周期。

平台中对SOAR技术展开应用，通过白盒化的组件对接和剧本编排，可以按照既定工作流程或应急预案自动执行安全风险协同响应工作，实现稳定、规范的安全管控，降低安全运营成本。

安全编排自动化与响应流程示意图

管理和态势

人人口中的态势，和真正的态势，中间差了多少种态势？

宏观态势感知进入三维空间，安全设备、流量探针外，企业资产风险视图是第三维能力补充。

实战化安全运营平台接管企业全部资产数据，汇入多源资产信息，为态势分析夯实基础。资产接入体系包括手动输入、批量导入、周期扫描，主动扫描、流量识别等，覆盖资产数据标签20余类。

平台对采集到的资产数据进行全生命周期管理，仅对确认资产进行风险关联及更新维护，另建设未知资产、历史资产，保存相关信息。从入库到退库，完成资产全生命风险管理，持续完善信息。

平台围绕资产和安全日志结果，提供多维度态势可视化能力。通过可编辑的仪表盘、可编辑的大屏，实现拖拽自由布局、便捷式分析协作、自定义数据源、成果瞬时共享的配置管理，具备BI可视化分析能力，如可编辑仪表盘、可编辑拓扑大屏、综合态势大屏等。

自定义筛选仪表盘

（快速得到全面的攻击信息及攻击关系展示）

实战化安全运营最佳实践

脱离生产环境谈能力，皆为空谈，万象（COSMOS）安全分析与管理平台可以为企业解决哪些具体痛点需求？应用于哪些风险场景？实战化安全运营最佳实践，将解答这一疑虑。

客户痛点

某客户前端部署防火墙、IPS、WAF、UTM等多个安全设备，但日常告警较多、无集中研判平台，运维人员很难把分散的数据统一起来；运维团队每次策略调优，只能依照长期以来该策略的告警准确率的经验，较为繁琐，影响了策略持续调优运营。

解决方案

万象（COSMOS）利用关联分析快速迭代规则：

多源告警归并：多个设备基于各自的检测逻辑（相同或不相同），对同一payload进行告警，集中一次研判并对多设备的此条检测策略进行调整。
前后端校验：前端设备（如UTM或NGFW）判定为“告警但放行”的日志，在后端设备（如WAF或NTA）判定为“严重”“高危”。研判后若形成威胁，则增加前端设备的检测细粒度或自定义规则；反之则调整后端设备规则告警等级。
WAF绕过判断：WAF出现中低危告警（如扫描、XSS等）且未拦截，但随后一定时间范围内，被攻击资产出现横向访问、挖矿、反弹Shell等，资产可能已失陷。平台快速告警，处置疑似失陷资产，并随后分析、调整WAF策略。

客户收益

经过一段时间的运维，该客户的安全设备的告警被业务部门投诉影响越来越少，常遭受的攻击种类手段越来越清晰且大部分直接在边界被拦截，局域网内的安全设别告警、平台上的关联分析告警逐步减少，安全团队形成了了长期有效的安全设备策略调优运营机制和方法论。

案例二

客户关键词：应急处置迟缓、人工吃紧

应对关键词：SOAR（安全编排与自动化）

客户痛点

某客户已经完成了等保三级建设，需要大量的需要人工介入的日志分析，极大限制了技术体系的效果；另一方面，在事件应急响应中MTTR时间较长，从识别、关联、研判再到处置，攻击者可能早已得手。

经常遇到的场景包括：