长亭科技万象COSMOS安全分析与管理平台_安全运营管理平台_智能风险场景感知系统-云巴巴 -云巴巴

立即咨询

立即试用

商务合作

长亭科技万象COSMOS安全分析与管理平台

长亭科技万象COSMOS安全分析与管理平台，取“包罗万象”之意，采用先进大数据架构、依托长亭多年攻防经验，围绕数据管理、风险分析、运营响应，为用户建立常态化安全运营平台，帮助政企全面提升安全分析及响应效率。

立即咨询

首页

数字化产品

应用安全

长亭科技万象COSMOS安全分析与管理平台

问题&挑战

2017年前，企业网络安全建设主要以合规功能建设为主；17至21年，进入攻防实战阶段；从22年开始，逐步进入常态化运营阶段，于是内部的安全运营管理工作亟需提升效率、沉淀企业化场景。

架构/技术变革，带来新诉求、新风险 icon

安全更复杂、数据更多、资源需求更弹性等，导致业务需求、运营场景变化，对于平台提出更多痛点需求。

我们如何解决：2个核心理念 icon

常态化运营阶段：更高效、更灵活、更开放，「人+平台」持续运营。

安全分析转化率

能分析、处理过来的告警（更可信、更贴合企业实际）才有意义关键词：安全分析效果

高价值、自动化安全运营

万象+：运营（分析+响应）闭环，完成安全体系的最后一公里关键词：自动响应

我们如何解决：4个解决手段 icon

多源异构数据融合

建立企业级数据标准
针对不同设备、风险场景需求，可灵活定义数据&模型，建立企业级数据标准；接入安全日志、资产、漏洞、情报等数据，建立统一安全数据中心；

SOAR（SIEM+SOAR）

内置自动化场景
SIEM+SOAR一体化；工单（流程可定义）、报告（模板可定义）、自定义拓扑大屏等；处置联动场景（边界拦截、会话阻断、主机隔离等）；

白盒化分析交互、语境引擎

高价值分析能力/规则积累
基于长亭多年领先攻防经验、丰富安全产品经验积累，赋能 100+内置分析场景&规则；实时/离线高级交互分析引擎（灵活白盒化分析）、「语境」自然语境构建引擎（国内首个、提供零门槛分析）；

攻防/运营技术

开放性架构&模式
依托长亭攻防优势经验，帮助企业快速落地战时/日常场景，构建企业安全运营体系；升级架构&模式，多种部署模式支持，微服务、低代码、更开放；

我们如何解决：产品落地 icon

万象 COSMOS 安全分析与管理平台

取“包罗万象”之意，采用先进大数据架构、依托长亭多年攻防经验，围绕数据管理、风险分析、运营响应，为用户建立常态化安全运营平台，帮助政企全面提升安全分析及响应效率。

安全日志数据接入：更开放、更灵活、更高效 icon

支持主动、被动的主流数据获取方式，支持Syslog、FTP/SFTP、JDBC、Kafka、导入等若干数据采集方式，内置解析规则覆盖20+主流厂商、80+种类设备，支持零基础数据范化功能，可快速接入json、xml、键值对，并提供正则模式，平均新数据接入配置时间15分钟。

企业安全数据中心

建立企业级数据标准、建立统一安全数据中心

多源数据接入&处理
支持扩展第三方日志、资产、情报源

数据模型自定义
内置数据标准、可扩展数据模型

企业级安全数据中心
统一安全数据管理

资产数据中心：资产运营 icon

摸清企业家底、盘点资产台账，基于万象平台汇聚企业数据优势，强调建立安全资产中心，解决资产数据不统一、维护属性差异大、未知资产存在安全隐患等问题，管理资产及其属性、重点关注各类安全属性。

资产数据管理

①多源资产数据融合，建立资产台账；

②资产识别、发现；

资产漏洞管理

①漏洞全生命周期管理；

②引擎管理：可扩展第三方检测引擎、长亭资产探针；

资产入侵风险

①视角1：资产——>告警；

②视角2：告警——>资产；

核心理念 - 安全分析转化率 icon

能分析、处理过来的告警（更可信、更贴合企业实际）才有意义，关键词：安全分析效果、常态化运营、提高效率。

安全告警

通过构建「安全分析规则」，通过规则关联各类日志、挖掘日志特征，生成安全告警(事件)，告警是可以处置的。

安全日志

原始日志经过解析、处理ETL（过滤、映射、丰富、归并），生成标准统一的安全日志；安全日志是安全告警、威胁研判的基础数据。原始日志

各类安全设备，通过syslog、kafka等方式收集起来的检测结果日志。

白盒化关联分析

分析工具/手段

能力强大分析工具，将企业分析诉求转化为分析规则、场景，高效分析；

场景/能力积累

内置高价值分析规则、场景；沉淀、积累企业的分析运营能力，人（能力/经验）+工具（规则/处置动作/系统联动等）+流程；

分析引擎基座

内置实时流式分析引擎、离线周期分析引擎、自然语境构建 3 大引擎；

持续运营

需要「人+平台」的持续运营；

语境：国内首个

分析实践 · 持续运营 icon

多源校验

兼听则明，偏听则暗；3家全流量都判定为高危攻击，情报认定是活跃黑产IP，封；

用户行为

知己知彼，方能百战不殆；收集堡垒机、VPN登录日志，形成基线，异常登录就查；

统计聚合

窗外喧嚣，不过几只燕雀；3000条扫描聚合为1条告警，共计7个攻击者IP发起本轮攻击；

时序分析

对话潜伏在这片时空的APT，14天内A攻击B，B攻击C，则告警B为高可疑失陷资产。

应用：交互式关联分析 icon

应用：风险告警配置串联 icon

核心理念 – 高价值、自动化安全运营 icon

更高效率、更稳定

基于高价值、更可信告警，响应更精准、更有效，触发端（例如防火墙）处理压力大幅度降低；串联大数据处理能力，更稳定、更高效；

SIEM+SOAR一体化-全能力编排

万象全能力（告警/工单/处置动作/数据/API等）可编排，支持快速落地剧本编排及组件开发；

灵活、丰富的支撑功能

处置联动场景（边界拦截、会话阻断、主机隔离等）；工单自定义（资产稽核流程、漏洞处置流程、风险研判&处置流程等），报告中心、通知等；

SOAR：可编排、轻代码 icon

可编排：拖拽方式灵活支持流程绘制，帮助企业串联规范化、流程化安全管控工作，降低企业安全运营成本；轻代码：针对企业不同安全运营业务、不同需求，轻代码模式具备快速响应、构建剧本能力；

丰富剧本、动作，持续扩展 icon

在万象全能力基础上，快速落地各类自动化处置动作、响应能力，自定义编排运营剧本，快速构建面向用户实际业务的运营场景&逻辑。

自动化处置类
风险快速处置响应：IP封禁、主机隔离、会话阻断、文件隔离、VPN账号封禁、长亭设备包等；

人工流程类
内置工单模块、企业工单系统对接：风险研判/处置流程、资产信息稽核流程、漏洞全生命周期管理；

日常合规类
任务触发、合规管理：漏洞扫描任务触发、弱口令/合规基线任务触发、资产信息同步/更新；

运维监控类
运维监控：日常设备监控；

即时通知类
消息即时通知：邮件、短信、企业微信、钉钉等通知；

综合工具类
应用综合工具：情报信息查询、IP地址库信息、解码/编码工具、万象API（资产信息、用户信息、黑/白名单等）；

SOAR实践：IP自动化封禁 icon

场景1：外部高危攻击场景，针对高确信IP进行自动化封禁，定义封禁组及封禁上限，保障业务稳定；场景2：人工分析研判、高危情报IP，进行人工封禁，可设置永久/定时；场景3：区分场景，细粒度拆分互联网出口、专线出口防火墙，提升阻断效果；

SOAR实践：威胁情报联动 icon

通过手动拖拽组件，组件定义各种威胁情报判断逻辑

判断是否命中威胁情报IP；

判断是否境外IP、企业专线、公有云IP、IP信誉等；

场景1：利用情报数据即时性特征，增加情报命中分析，快速扩展威胁识能力，提升风险自动化处置准确率

通过情报数据与平台告警再次关联，根据情报信誉程度、威胁等级、告警等级攻击类型、风险区域等因素进行综合判定，构建自动封禁策略，提升自动化处置准确率。

场景2：基于情报信息对告警进行综合检索、研判

在告警特征命中情报后，平台支持对告警信息增加情报命中标识，通过情报对告警进行组合检索，并进一步展示情报详细信息，支撑运营人员对告警进行综合性研判。

统一安全运营体系：人+平台 icon

运营体系-安全运营服务交付清单 icon

架构&模式：微服务、低代码、更开放 icon

面向不同企业化需求，基于微服务交付模式，快速适应并落地项目开发能力：全流程白盒化「基础」：可视化（仪表盘、报告），运营管理（工单、拓扑），分析规则，数据模型等；架构更开放「升级」：基于APP中心、SOAR模式，支持多种第三方扩展（第三方数据源、设备联动、系统对接等）；

案例①：安全大脑（分析&决策运营体系） icon

一、项目背景

某金融用户，原先使用Splunk，国产化趋势下寻求具有安全分析能力者作为本地安全大脑，构建全网安全运营体系。

二、需求分析

重视平台安全分析能力，用户需要对抗APT组织，精确实现对高级威胁攻击从外到内的安全监测和防御；需要非常灵活的安全规则配置能力，充分发挥现网多种安全设备的数据价值，形成自身安全基线；参加国家攻防演练，需要提高防守效率。

三、客户收益

接入本地防火墙、IPS、WAF、抗D、威胁情报等10+设备，梳理组织的安全usecase和基线学习规则，快速聚合高危攻击IP，看清高危IP完整的攻击链条，大大提升准确率，降低MTTD （平均检测时间）；构建自动化封禁IP剧本，联动绿盟WAF、启明IPS，HW期间自动化封禁IP 19073个，降低MTTR （平均响应时间）。

案例②：自动化风险分析响应（SIEM+SOAR一体化） icon

一、项目背景

某证券用户，需要扩增自动化风险处置能力，构建SIEM+SOAR一体化；且原有系统交旧，期望引入新分析能力；

二、需求分析

亟需自动化风险处置、运营动作编排，解决人无法24小时快速响应问题；重视平台安全分析能力，旧SIEM无法满足分析诉求，比如复杂多表关联、自定义字段聚合等；

三、客户收益

接入第三方威胁情报数据、主机（端）HIDS等设备扩展更多数据源，实现多数据源逻辑分析场景；联动各个边界防火墙实现自动化IP封禁；编排自定义多个场景，例如：情报验证场景、恶意邮件拦截、恶意文件防护、基于终端防护验证溯源，联动ITSM工单系统、短信网关通知等。

案例③：小态感流量检测分析 icon

一、项目背景

某国家部委有新上线业务，但内部缺乏流量检测手段和安管中心，需要通过等级保护（三级）和政务安全合规检测；同时也提升内网的检测保护技术手段。

二、需求分析

需要通过等保2.0为主的合规测评，构建合规的安全体系。部署设备或进行资产加固，提升内网检测保护能力，客户之前遭受过攻击，也希望从该项目增加监测手段。

三、客户收益

在等级保护检测中，满足安全事件管理（采集、分析、响应、关联规则）、风险管理、资源监控等功能项，作为安全管理中心顺利通过测评；长亭安服监测、梳理流量日志，发现了某APT组织的攻击痕迹，并做了处置，获得了较大认可。

多种服务及部署模式

云化部署、弹性扩容，适应复杂环境下的安全工作

产品推荐

道一云人事行政招聘需求系统

道一云人事行政招聘需求系统通过系统实现人事管理全面信息化办公，员工的档案和状态一键查询、实时了解。涵盖企业招聘、员工管理／自助、培训、绩效考核、薪资等全事务。员工入职、转正、调岗、调薪、离职操作都可以通过手机端或PC端提交，流程在线自动流转，审批方便，信息在线保存。员工自助，员工的自动化申请需求处理平台，员工培训，不落下每一次成长的机会，员工管理，从档案、合同再到绩效评定、薪资计算发放，自动流转。

免费试用

查看详情