背景介绍
信息时代越来越发达,黑客或者恶意员工攻击系统、盗取数据获得的利益也越来越大。然而单点单面的防护已经无法有效的保护系统安全、降低数据泄露的风险了。最近两年,网络信息安全形势愈加严峻,安全事件频发且非常严重。
全量数据采集
数据驱动安全,现在的安全事件已经不再是单一的安全设备所能监测和防御的,往往需要结合多个设备和业务系统的数据,进行分析对比才能定位。因此,日志服务首先要确保全量数据的采集,包含网络设备、操作系统、安全设备、数据库、中间件以及各业务系统等。
根据FileEye M-Trends 2018报告,企业组织的攻击从发生到被发现,一般经过了多达101天,其中亚太地区问题更为严重,一般网络攻击被发现是在近498天(超过16个月)之后。另一方面,根据报告,企业组织需要花费长达57.5天才能去验证这些攻击行为。因此,全量数据采集和分析的难点,不仅仅在于数据散乱、类型多样,还要保障海量(几百G甚至更多)数据处理的实时性,这就要求日志服务至少每秒能够处理上万条数据。
复杂告警逻辑
可疑安全事件的发现和定位,不再是依靠简单的阈值进行告警,而是需要多个设备、系统数据进行关联分析或者复杂计算。
例如:1、安全设备联动告警;2、防火墙session时间过长告警。
