跳至主内容
  • 云解决方案
  • 安全数据湖

安全数据湖

安全数据湖 是一个强大的安全信息与事件管理(SIEM)解决方案及日志分析平台,可集中管理、保护并监控多源机器生成的数据。 安全数据湖 通过提供快速搜索、实时告警和强大的可视化功能,为网络安全团队、IT运维及合规部门提供可操作的洞察。

核心能力

安全数据湖 提供增强可见性、强化安全运维、简化环境监控与调查的基础能力。

  • 收集并丰富多源日志数据,构建统一的可搜索视图。

  • 实时检测并告警威胁,助力快速响应。

  • 通过可定制仪表板展示关键指标与趋势。

  • 关联相关事件以揭示模式、依赖关系和根本原因。

  • 运用异常检测技术识别异常或可疑活动。

  • 分析用户与系统行为,发现内部威胁或遭入侵账户。

  • 通过自动化报告与留存控制支持合规工作。

  • 集成威胁情报源,为告警和检测提供上下文。

  • 通过关联搜索、证据链和时间轴简化取证调查。

  • 借助预置内容包和配置提升部署效率与可见性。

核心功能

其核心功能 安全数据湖 基于以下明确定义的组件构建:

数据摄取与管理

  • 输入源 - 定义 安全数据湖 接收数据的方式与来源(如syslog、GELF、Beats或自定义源),支持灵活配置多种日志类型与协议。

  • 数据流 - 实时路由、标记和过滤日志,根据预设条件管控数据流与访问权限。

  • 索引模型 - 配置留存、轮替和分片策略,高效管理日志存储并满足数据生命周期合规要求。

  • 处理管道 - 在数据流入 安全数据湖 时实施转换与富化逻辑,实现索引前的标准化、标记和动态路由。

监控与分析

  • 日志检索 - 通过直观查询界面和时间筛选功能,快速定位分析结构化与非结构化日志事件。

  • 仪表板 - 通过支持基于角色的访问控制,构建图表、图形和关键绩效指标等定制化可视化组件,用于监控系统健康状况、安全事件或应用程序性能。

  • 告警 - 使用可配置的事件定义检测关注条件,支持基于历史数据的实时通知和追溯告警。

  • 异常检测 - 通过统计基线和趋势分析自动识别偏离正常行为的情况,实现异常活动或性能下降的早期发现。

威胁检测与响应

  • Sigma规则 - 采用Sigma规则框架实施标准化检测逻辑,将社区驱动的规则转化为可操作的 安全数据湖 告警与关联查询。

  • Illuminate - 部署精选的领域专用内容包(包含常见平台的管道、仪表板和检测规则),加速威胁可视化和检测。

  • 调查 - 创建聚焦工作区,整合相关搜索结果、上下文数据和证据,实现高效事件响应与协同取证分析。

安全数据湖 许可证

提供两种 安全数据湖 许可证类型,功能如下:

  • GravityZone安全数据湖

  • GravityZone MDR版安全数据湖

许可证移除与过期

当GravityZone安全数据湖许可证密钥被移除或过期时,将开启30天宽限期。此期间用户仍可访问安全数据湖控制台,数据采集持续进行。若公司账户被暂停,同样适用30天宽限期——数据采集保持活跃,但用户无法登录。

对于MDR版安全数据湖许可证,移除或放任许可证过期也会触发30天宽限期。安全数据湖控制台访问和数据采集功能保持可用,但MDR SOC团队将无法访问贵公司数据。公司账户暂停时,同样适用30天宽限期——数据采集继续运行,用户无法登录,且MDR SOC访问权限被撤销。

若为NFR或试用许可证,则不适用宽限期。此类情况下,一旦许可证被移除或过期,所有存储数据将立即被永久删除。

本节内容 :