从业务需求到安全场景梳理,谈大数据分析平台建设. - APT防御产品

从业务需求到安全场景梳理,谈大数据分析平台建设.

目前做大数据分析平台的很多,但是对用户来说,数据分析平台只是个工具,平台能存储大量数据,也有灵活的分析功能,但是平台的分析结果大部分不是用户真正关心的问题,这最后一公里如何解决呢?

 

这里需要了解业务、了解安全的人进行细致工作来完成这最后一公里的需求。这里总结了一些思路和方法,边实践边探索。

安全需求与分析人员完成下图的1、2、3; 平台开发或建设人员完成下图的4、5、6.

无标题

这里针对安全需求与分析人员完成的工作做主要说明:

1、确定用户的“痛点”,通过安全场景来描述用户的痛点。这个是要解决的问题。典型的一些比如绕行访问,比如未纳入管理的资产的发现,比如异常的业务行为等。这些痛点就是后期要解决的问题。解决的方式告警+处理(人工发展到自动化的处理)。能充分做到第一点其实已经不易。

2、分析发现问题所需要的“数据源”,这里包含了日志类的(系统、网络、应用、业务日志,最好是通过抓流量的旁路抓取日志方式在后期实现成本小)、状态类的(系统开放端口、系统关键位置的文件变化等),这个方面需要对业务、对系统有深入了解,并进行大量的分析工作。

3、数据的分析模型和算法实现:根据数据源通过什么样的分析模型能否发现异常,能够确定告警出用户关心的“痛点”问题。数据挖掘、机器学习是这里能大力发挥的地方。但是实际的工作过程中其实通过关联分析、统计其实能够发现很多的问题。把这些基础的做好了一般就能务实的解决很多问题。

4、可视化报表:现在业内一谈到可视化,都是越炫越好,甚至有人说看不懂的才叫可视化程度高。这里还是要结合用户的使用场景来进行可视化的展示。用心去体验用户的场景,把用户的习惯行为梳理出来。强调用户的良好体验。

5、收集或整理数据:前方的人员把数据收集完成,或者数据采集方式确定。
 

上面的工作都弄清楚,可以通过专门的《安全场景手册》等文档方式,交付给后方的开发或平台建设人员。后方的人员通过数据分析平台来做具体的实现。


转载请注明出处 APT防御产品 » 从业务需求到安全场景梳理,谈大数据分析平台建设.

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址