【產(chǎn)品亮點】
操作簡易化
系統(tǒng)內(nèi)置超過40種規(guī)則,接入數(shù)據(jù)后即可發(fā)現(xiàn)高風(fēng)險用戶����,快速檢測和定位攻擊行為,同時不影響業(yè)務(wù)�����。BAAS能夠長時間持續(xù)對用戶的異常行為進(jìn)行記錄���、累計和學(xué)習(xí)����,并逐步提高準(zhǔn)確率�����,同時也支持管理員根據(jù)實際需求自定義分析規(guī)則或改進(jìn)規(guī)則���,最終將可視化結(jié)果進(jìn)行呈現(xiàn)��。
多種類算法
BAAS使用多種基于統(tǒng)計模型的組合匹配���,提供監(jiān)督和非監(jiān)督的機(jī)器學(xué)習(xí)方法進(jìn)行異常檢測,支持基線算法��,支持上下文感知和內(nèi)容感知�����,通過上述方法來定義用戶行為��,識別異常用戶活動���,提供惡意或不滿的員工的前兆指標(biāo)�����。
高質(zhì)量告警
BAAS直接提供以“人”的視角給出的判定結(jié)果����,讓管理員能夠快速理解和定位“壞”人背后的行為,并評估和標(biāo)記產(chǎn)生異常行為的證據(jù)����,通過基于人類反饋的模型調(diào)整,能夠逐步優(yōu)化模型���,削減告警數(shù)量��,提升告警質(zhì)量�����,減少誤報率����,提升監(jiān)控效率�����,讓管理員能關(guān)注重點并優(yōu)先處理。
數(shù)據(jù)預(yù)挖掘
客戶可根據(jù)自己對業(yè)務(wù)的理解�����、想法和假設(shè)�,自己設(shè)計規(guī)則���,構(gòu)建模型����,若對于這些假設(shè)存在不確定性�����,此時可對歷史數(shù)據(jù)進(jìn)行模型運(yùn)算����,得到相應(yīng)結(jié)果后對模型逐步調(diào)優(yōu),同時不會污染已有的結(jié)果���。
協(xié)同防御能力
BAAS提供數(shù)據(jù)提取��、數(shù)據(jù)關(guān)聯(lián)和數(shù)據(jù)豐富�����,利用基于大數(shù)據(jù)的安全分析技術(shù)對來自多種維度的數(shù)據(jù)進(jìn)行學(xué)習(xí)和分析����,構(gòu)建基于用戶、事件����、時間和會話的聚類信息,深入挖掘有價值的信息�,對未知安全威脅做到提前響應(yīng),降低風(fēng)險��,實現(xiàn)單一安全產(chǎn)品無法提供的安全防護(hù)���。
【產(chǎn)品功能】
日志接入���,匯聚多方信息
支持Syslog、JSON等多種結(jié)構(gòu)化日志的接入和非結(jié)構(gòu)化數(shù)據(jù)的接入�,并具備數(shù)據(jù)清洗、變換和語義豐富的能力��。
可快速同步AD域賬號信息,配置簡單��,自動更新����。
智能關(guān)聯(lián)日志信息,自動化進(jìn)行上下文信息的提取�。
支持對日志進(jìn)行長期歸檔、查詢和統(tǒng)計��。
策略配置���,易用靈活多樣
通用的策略規(guī)則配置方式,可對日志的任意域定義規(guī)則��。
超過二十余種運(yùn)算規(guī)則�,支持時間、數(shù)值���、字符��、IP等格式的匹配���,還可配置統(tǒng)計及頻度模型�。
支持通過機(jī)器學(xué)習(xí)建立基線并檢測基線異常���,客戶可參與評估和反饋���。
策略事件的日志記錄信息可根據(jù)客戶需求進(jìn)行定制。
支持策略事件分值和工作職能的關(guān)聯(lián)�����,基于不同職能同樣數(shù)據(jù)根據(jù)優(yōu)先級會有不同的期望結(jié)果��。
員工分析��,摸清員工動向
基于風(fēng)險指數(shù)對員工進(jìn)行劃分��,一目了然給出所有員工的風(fēng)險級別分布����。
能夠通過指數(shù)、事件��、時間等條件迅速定位高風(fēng)險員工��,并可對高風(fēng)險員工進(jìn)行標(biāo)記�,支持隱私管理����。
通過對員工違規(guī)事件的時間序列和趨勢分析���,能夠了解員工行為規(guī)律�����,會在哪些時間段出現(xiàn)違規(guī)行為��。
支持記錄���、展示員工的所有違規(guī)行為��,作為事后證據(jù)留存���,做到有的放矢���。
事件分析,洞悉網(wǎng)絡(luò)事件
監(jiān)控和分析員工違反正常使用網(wǎng)絡(luò)或與標(biāo)準(zhǔn)不符的行為���。
監(jiān)控和分析員工的不正常�����、惡意的或者誤用的應(yīng)用程序����,防止數(shù)據(jù)外泄。
能夠利用異常檢測和大數(shù)據(jù)分析得到異常事件�����,并進(jìn)行告警���。
快速分析出其他安全管理系統(tǒng)無法察覺的“壞”行為�����,降低誤報率�����,提升告警質(zhì)量���,提高人工響應(yīng)效率。
【使用場景】
規(guī)模較大的企業(yè)用戶
客戶問題:
客戶部署了種類較多的內(nèi)網(wǎng)及邊界安全設(shè)備���,但是每個邊界設(shè)備只能解決一類問題���。
各個設(shè)備提供了查詢和統(tǒng)計需求����,但是各設(shè)備都不具備基于大數(shù)據(jù)的算法�。
各設(shè)備通過AD服務(wù)器同步用戶信息,但是在單一設(shè)備上����,只能查詢用戶在該設(shè)備的日志。
整個企業(yè)人員眾多�����,對于網(wǎng)絡(luò)的使用情況無從知曉�,用戶的行為和工作效率難以保障。
企業(yè)的內(nèi)網(wǎng)設(shè)備�、應(yīng)用等實體也可能存在內(nèi)部威脅�,單一的設(shè)備無法有效的發(fā)現(xiàn)內(nèi)部威脅。
解決之道:
將各設(shè)備的相關(guān)數(shù)據(jù)統(tǒng)一匯聚到BAAS中進(jìn)行用戶關(guān)聯(lián)����、歸檔和查詢統(tǒng)計�。
對用戶的各類網(wǎng)絡(luò)行為數(shù)據(jù)關(guān)聯(lián)到每個員工��,提供基于職能的統(tǒng)一化的評價體系���。
長期的累計數(shù)據(jù)參與模型運(yùn)算��,通過機(jī)器學(xué)習(xí)方法自動進(jìn)行異常檢測和模型優(yōu)化�����。
提供強(qiáng)大可視化界面���,幫助用戶發(fā)現(xiàn)濫用、違規(guī)�����、數(shù)據(jù)泄露等安全事件�。
