极盾科技助力某头部私募基金,基于极盾·析策,打造扩展检测响应XDR平台:
1、接入堡垒机、网关、Gitlab、资产类接口、登录数据源、运维网络设备等日志,实现日均十亿级别数据量分析,日均安全告警数量从数万降至100条左右;
2、结合安全信息和事件管理(SIEM)、安全编排自动化和响应(SOAR)、端点检测与响应(EDR)以及网络流量分析(NTA)等现有能力,集中安全数据和事件响应,进行统一管理、统一分析,大大提升内部网络安全运营效率。
01建设背景
作为国内百亿量化私募之一,该头部私募基金综合实力长期稳居国内第一梯队。
作为科技力量型企业,网络安全建设亦是不可或缺,该头部私募基金集团内部配备多套安全设备,安全能力齐全,具备专门的安全运营团队。
然而,安全设备、网络设备等每天产生海量日志,各种安全设备每天产生数万告警,安全运营人员根本无法有效判断告警真实性并做出响应,且不同厂商的安全设备告警形成信息孤岛,无法统一关联分析。
为此,该头部私募基金与极盾科技结缘,基于极盾·析策,打造扩展检测响应XDR平台,以解决安全数据孤岛、海量告警、实时安全分析薄弱等问题。
02建设方案
基于以上需求,极盾科技的轻量化XDR解决方案是如何完成的?
1、安全数据孤岛?【多元数据采集及处理】
通过自动化的内置机制和智能化的解析机制进行数据汇集和规整,将包括日志、流量、用户行为、终端、安全设备在内的多维数据汇集到平台上,并结合流计算、图计算、AI智能等技术,打破安全数据孤岛,实现企业基础安全设施的彻底融合。
2、海量告警?【跨设备联合分析】
通过汇聚来自各个设备与IP相关的告警日志、网络访问流量、数据操作日志以及第三方高质量威胁情报,并结合流计算等技术实时提炼安全风险特征,对该IP地址的风险行为进行综合的关联分析,再通过动态的安全风险建模技术准确地识别该IP地址是否存在安全威胁。
通过上述一整套“组合拳”有效地降低需要人工响应的告警频次,并通过自动化处置能力帮助企业的安全团队解决噪声大,误报多的困扰。
3、实时安全分析薄弱?【智能决策系统】
极盾·析策之所以能够实现毫秒级实时安全分析、检测与响应,关键在于融合“流计算引擎+规则引擎+模型引擎+工作流引擎”为一体的综合智能决策系统。
智能决策系统底层:以流计算引擎为核心构建的指标平台,处理海量数据,实时计算,多维度交叉分析构建关联特征、攻击行为特征、用户行为特征等。
智能决策系统中层:以规则引擎为核心构建的策略平台和以模型引擎为核心构建的机器学习平台,两大平台都可以使用原始数据和指标平台计算的特征数据进行检测分析,分析告警可信度,排除无意义告警干扰,同时跨层整合分析识别高级威胁,提升安全检测效率和精度。
智能决策系统上层:以工作流引擎为核心构建的SOAR平台,可以按照策略和模型的检测结果采取不同的响应措施,响应组件支持包括接口、脚本、邮件、常见安全设备等多种类型。
03建设成效
前期需求调研后,实施团队快速部署产品以及策略模型上线,接入堡垒机、网关、Gitlab、资产类接口、短信类接口、登录数据源、运维网络设备等日志,打通安全数据孤岛,实现日均十亿级别数据量分析。
通过跨设备“任意安全事件关联实时分析”和“告警归并+威胁情报过滤+告警白名单”,大大抑制了告警泛滥,日均安全告警数量从数万降至100条左右。
“扩展检测响应XDR平台”帮助该头部私募基金,集中安全数据和事件响应,真正实现“统一部署、统一管理、统一监控、统一运营”,让网络安全日常化,达成可持续运营管控的目标。
极盾科技将继续发挥自身的技术优势和创新能力,帮助企业更好地应对网络安全挑战,构建一个更安全和可靠的网络环境。