跳至主内容
  • 合作伙伴
  • 安全数据湖

安全数据湖

安全数据湖 是一个强大的安全信息与事件管理(SIEM)解决方案及日志分析平台,可集中管理、保护并监控多源机器生成的数据。 安全数据湖 通过提供快速搜索、实时告警和强大的可视化功能,为网络安全团队、IT运维及合规部门提供可操作的洞察。

核心能力

安全数据湖 提供增强可见性、强化安全运营并简化全环境监控与调查的关键能力。

  • 收集并丰富多源日志数据,构建统一可搜索视图。

  • 实时检测威胁并发出告警,助力快速响应。

  • 通过可定制仪表板展示关键指标与趋势。

  • 关联相关事件以揭示模式、依赖关系及根本原因。

  • 运用异常检测技术识别可疑活动。

  • 分析用户与系统行为,发现内部威胁或遭入侵账户。

  • 通过自动化报告和留存控制支持合规工作。

  • 集成威胁情报源,为警报和检测提供上下文信息。

  • 通过关联搜索、证据和时间线简化取证调查。

  • 利用预构建内容包和配置提升部署效率与可视化能力。

核心功能

安全数据湖 的核心功能 基于以下明确定义的组件构建:

数据摄取与管理

  • 输入源 - 定义 安全数据湖 接收数据的方式和来源(如syslog、GELF、Beats或自定义源),支持灵活配置多种日志类型和协议。

  • 数据流 - 实时路由、标记和过滤日志,根据预设条件组织并控制数据流与访问权限。

  • 索引模型 - 配置留存、轮换和分片策略,高效管理日志存储并满足数据生命周期合规要求。

  • 处理管道 - 在数据流入 安全数据湖 时应用转换与富化逻辑,实现索引前的标准化、标记和动态路由。

监控与分析

  • 日志检索 - 通过直观查询界面和时间过滤功能,快速定位分析结构化/非结构化日志事件。

  • 仪表板 - 创建图表、图形和KPI等定制可视化视图,监控系统状态、安全事件或应用性能,支持基于角色的访问控制。

  • 告警 - 通过可配置事件定义检测关注条件,支持实时通知与基于历史数据的回溯告警。

  • 异常检测 - 基于统计基线和趋势分析自动识别行为偏差,及早发现异常活动或性能下降。

威胁检测与响应

  • Sigma规则 - 通过Sigma规则框架实施标准化检测逻辑,将社区驱动的规则转化为可操作的 安全数据湖 警报与关联查询。

  • Illuminate内容包 - 部署精选的领域专用内容包(包含常见平台的管道、仪表板和检测规则),加速威胁可视化和检测。

  • 调查工作区 - 创建聚焦的工作区,整合相关搜索结果、上下文数据和证据,实现高效事件响应与协同取证分析。

安全数据湖 许可证

提供两种 安全数据湖 许可证类型,功能如下:

  • GravityZone安全数据湖基础版

  • GravityZone安全数据湖MDR版

许可证移除与到期

当GravityZone安全数据湖许可证密钥被移除或到期时,将开启30天宽限期。期间用户仍可访问安全数据湖控制台,数据采集持续进行。若公司账户被暂停,同样适用30天宽限期:数据采集保持活跃,但用户无法登录。

对于安全数据湖MDR版许可证,移除或让许可证到期也会触发30天宽限期。安全数据湖控制台访问和数据采集功能保持可用,但MDR SOC团队将失去对您公司的访问权限。公司账户暂停时,同样适用30天宽限期:数据采集继续,用户无法登录,且MDR SOC访问权限被撤销。

若为NFR或试用许可证,不适用宽限期。此类情况下,所有存储数据将在许可证移除或到期后立即永久删除。

本章节内容 :