产品概述

     系统通过集中采集各类系统中的安全事件（如网络攻击、防病毒等）、用户访问记录、系统运行日志、系统运行状态、网络存取日志等各类信息，经过数据识别、数据处理和数据分析等处理后，以统一格式的展示并进行集中存储和管理。仅通过简洁的监控界面，用户即可实时动态了解当前整个系统的安全态势，获知异常安全事件和审计违规情况,系统也提供了强大的安全异常问题分析追溯功能。

     大数据安全分析平台主要由如下几个部分构成：

     ●  数据源层：系统的数据来源，包括各类网络设备，主机、安全设备、数据库、中间件、应用系统等能产生日志的设备或者信息系统；

     ●  采集层：对各类数据进行数据识别、数据处理；采集各类日志、安全数据，如SMB、文件、数据库（JDBC）等；

     ●  大数据计算层：对采集的数据进行数据的提取、清洗、分析，实现了高性能、高压缩和高可用，分片技术为大数据索引和搜索提供了有力支持，极大提高查询和索引性能，便于业务层进行大数据关联、审计等安全分析；

     ●  大数据业务分析层：利用大数据分析引擎对大数据进行关联分析、审计分析等，实时与专家经验库联动，精准分析，发现异常后实时告警；

     ●  展现层：是实现系统集中操作和管理的组件，提供图形化的综合展示界面。

     主要功能

    通过大数据安全分析平台，相关人员可以随时了解整个系统的运行情况，及时发现系统异常事件及非法访问行为；通过事后分析和丰富的报表系统，管理员可以方便高效地对信息系统进行有针对性的安全审计。遇到特殊安全事件和系统故障，大数据安全分析平台可以确保日志完整性和可用性，协助管理员进行故障快速定位，并提供客观依据进行追查和恢复。

     ●  采集配置：在接入各类日志和事件前，指定需要采集的目标、接入方式以及相关参数（如数据库的各种连接参数）、选择标准化的脚本和过滤及归并策略；

     ●  数据识别：根据指定的标准化脚本，对相应日志或事件进行标准字段的映射；

     ●  数据处理：过滤和归并的目的均是为了压缩整体事件数量，而且利用过滤策略，用户也可以将指定的事件转发至需要的地方或对事件信息的相关属性进行重新赋值；

     ●  数据分析：事件关联分析和审计分析是大数据安全分析平台的核心分析部分，它不仅可以综合考量各种事件之间可能存在的关系，而且能够对事件中相关要素进行分析；最终，事件分析和审计分析的结果均以告警的形式出现在系统中；

     ●  查询和检索：系统提供基础、高级和基于搜索表达式的方式对原始事件进行不同维度的查询和检索；

     ●  报表管理：系统提供丰富的报表，以满足用户不同的要求；

     ●  资产管理：大数据安全分析平台提供资产管理模块，以方便用户对被管对象的管理；

     ●  知识库管理：系统提供日志发送配置（即如何对各种系统进行配置，以便正常采集日志）、安全事件知识、安全经验，对安全分析提供相应的支撑；

     ●  系统管理：系统的自身管理，包括如用户管理、日志管理、升级管理等功能。

     ●  配置分析：支持对网内设备的配置进行分析，对配置脆弱性提出解决方案和违规告警。

     ●  信息监控：支持对安全主机的配置文件、日志文件、注册表项、服务、进程、开放端口等信息做定向监控，一旦发现异常和变化即产生告警。