腾讯态势感知(私有云)(下文中也叫御见)是腾讯安全面向政府、军队、金融、制造业、医疗、教育等大型企事业单位推出的一款安全大数据分析及可视化平台。御见以安全检测为核心、以事件关联分析、腾讯威胁情报为重点、以3D可视化为特色、以可靠服务为保障,可针对企业面临的外部攻击和内部潜在风险进行深度检测,为企业提供及时的安全告警。通过海量数据多维度分析、及时预警,对威胁及时做出智能处置,实现企业全网安全态势可知、可见、可控的闭环。
功能
腾讯云御见提供态势总览、资产感知、威胁发现、风险预警、溯源分析等功能。
通过态势总览直观展示企业在全网范围内的资产安全状况、最新待处理威胁、风险事件、安全事件趋势等,并运用安全评分、趋势图、柱状图、分布图等直观图形,实现可视化展示。同时结合平台所收集、加工、分析后的多维数据直观查看结果,方便安全运维人员及时发现、处理威胁,从而帮助客户有效洞察企业所面临的外部威胁和内部脆弱性风险,也极大的提高了安全运维团队的监测、管理、处置安全事件的效率。
为用户提供资产可视,从资产的角度了解安全态势。盘点现有资产,同时可对资产进行编辑管理。通过多种手段摸清企业内网资产,包含:流量发现、资产列表导入、用户主动添加等,建立完整、丰富的资产库,从而实现威胁、风险事件与企业内网资产紧密关联打下基础,同时方便运维人员对企业内网资产进行管理。
通过对接安全设备日志、流量日志、威胁情报等数据,经御见大数据分析平台清洗、过滤、归一后,进行安全规则检测,实时发现最新威胁事件,并进行威胁态势感知与威胁事件告警,方便运维人员查询具体的威胁事件,并从中获得威胁事件更详细信息,帮助调查分析、溯源事件、联动处置问题。
实时收集互联网最新安全漏洞情报,向客户传递最新漏洞情报。通过持续监控外部威胁以及内部风险,全面分析事件详情,为客户提供专业的处置方案,协助客户快速定位问题、精准定位溯源、进而及时正确处置威胁,做到及时查漏补缺,防患未然。
运用大数据分析平台特性,将对接的企业内的安全设备日志、流量日志等所有原始日志进行分布式存储,并提供相关“溯源分析”界面,供用户对日志进行查询、检索;通过接收并保存企业内部各种设备日志及流量日志,提供一个供安全运维人员进行关键字段筛选搜索,为用户提供对特定安全事件或威胁进行智能搜索的服务,对特定类型的事件能够进行深入分析事件发生原因及影响范围。
态势感知平台可将企业安全状况可视化大屏展现,通过可视化大屏的方式,便于客户直观、全面了解企业全网的安全状况,及时处置安全事件。同时可满足定制化输出可视化总览图,客户可以根据实际需求查看安全状况。
企业管理员通过安全报表可及时、详细查看企业网络的安全风险状态,同时可根据用户实际需求制定安全报表。通过输出安全报表,方便安全运维同学总结一段时间内的安全工作成果,提供向上汇报,内部总结分析的材料支撑。
提供完备的系统平台管理,包括御见态势感知平台的运维管理和安全策略运用管理、用户操作审计、系统日志审计管理、用户权限管理等,满足企业用户使用态势感知系统时的各类管理场景。
腾讯态势感知(私有云)(下文也叫御见)是腾讯面向政府、军队、金融、制造业、医疗、教育等大型企事业单位,推出的安全大数据分析及可视化平台。御见以安全检测为核心、以事件关联分析和腾讯威胁情报为重点、以 3D 可视化为特色、以可靠服务为保障,可针对企业面临的外部攻击和内部潜在风险,进行深度检测,为企业提供及时的安全告警。通过对海量数据进行多维度分析和及时预警,能及时智能处理安全威胁,实现企业全网安全态势可知、可见、可控的闭环。
通过态势总览,直观展示企业在全网范围内的资产安全状况、最新待处理威胁、风险事件、安全事件趋势等,运用安全评分、趋势图、柱状图、分布图等直观图形,实现可视化展示,结合平台所收集、加工、分析后的多维数据,直观查看结果,方便安全运维人员及时发现和处理威胁,从而帮助客户有效洞察企业所面临的外部威胁和内部脆弱性风险,极大地提高了安全运维团队的监测、管理、处置安全事件的效率。
提供资产可视功能,帮助用户从资产的角度了解安全态势。盘点现有资产,对资产进行编辑管理。通过流量发现、第三设备导入、用户主动添加等手段,摸清企业内网资产,建立完整、丰富的资产库,为实现威胁、风险事件与企业内网资产紧密关联打下基础,方便运维人员对企业内网资产进行管理。
对接第三方设备日志、流量日志、威胁情报等数据,御见大数据分析平台对数据进行清洗、过滤、归一后,进行安全规则检测,实时发现最新威胁事件,并进行威胁态势感知与威胁事件告警,方便运维人员查询具体的威胁事件,从中获得威胁事件更详细信息,帮助调查分析、溯源事件、联动处置问题。
实时收集互联网最新安全漏洞情报,向客户传递最新漏洞情报。通过持续监控外部威胁和内部风险,全面分析事件详情,为客户提供专业的处置方案,协助客户快速定位问题、精准定位溯源、及时正确处置威胁,做到及时查漏补缺、防患未然。
利用大数据分析平台特性,将对接的企业内的第三方设备日志、安全设备日志、流量日志等所有原始日志,进行分布式存储,并提供相关 “溯源分析” 界面,供用户对日志进行查询、检索,通过接收并保存企业内部各种设备日志及流量日志,提供安全运维人员,进行关键字段筛选搜索,为用户提供对特定安全事件或威胁进行智能搜索的服务,对特定类型的事件进行深入分析事件发生原因及影响范围。
御见可将企业安全状况可视化大屏展现,通过可视化大屏的方式,便于客户直观、全面了解企业全网的安全状况,及时处置安全事件。同时可定制化输出可视化总览图,客户可以根据实际需求查看安全状况。
管理员通过安全报表可及时、详细查看企业网络的安全风险状态,并根据用户实际需求制定安全报表。通过输出安全报表,方便安全运维人员总结一段时间内的安全工作成果,提供向上汇报,内部总结分析的材料支撑。
提供完备的系统平台管理,包括御见的运维管理和安全策略运用管理、用户操作审计、系统日志审计管理、用户权限管理等,满足企业用户使用态势感知系统时的各类管理场景。
依托腾讯安全大数据分析能力,以及腾讯七大实验室多年的安全行业经验,积累了海量高价值的威胁情报数据,这些情报数据主要涵盖以下几个优势:
数据来源多、覆盖广
腾讯御见威胁情报数据来源覆盖 PC 端、手机终端、企业邮箱和公有云上的各类产品,拥有最实时的威胁情报数据库。
专业团队运营
腾讯御见威胁情报数据由专门团队进行运营,及时提供专业化、全景化和分类化的威胁情报知识图谱。
分析溯源能力强、场景和资产自动关联
御见能够将企业资产流量与威胁情报进行匹配,实现自动化关联分析;当有新的威胁情报汇入时,会自动回溯企业的资产流量日志以发现新的安全问题。
在大数据分析、处理等方面处于行业领先水平。基于腾讯积累多年的分布式大数据平台技术,构建了一套企业内部的安全大数据平台框架,支持10G级别的流量实时处理和分析,PB 级别的数据存储和检索,并且支持平行扩容。内置腾讯多年积累的安全规则和机器学习算法模型,协助进行安全大数据分析,从企业海量数据中发现异常安全事件。
御见使用腾讯 Penrose 作为 3D 可视化解决方案。采用 3D 效果,如柱状图,散点图,对攻图和热力图等多种可视化表现形式,结合腾讯安全在全网积累的多维安全数据,将全球安全态势、企业所在国家和地区的安全态势,企业内部安全态势直观地呈现在 3D 场景中。协助企业充分了解内外所面临的安全态势。
当用户的网络为单出口时,用户仅需部署一套 御界 探针来做镜像流量还原及检测。另外安全产品的日志也需要输送到御见平台。
说明:
网络流量和安全设备日志都是御见平台的数据来源。
网络流量会先经过 御界 探针处理。
当用户的网络出口较多时,推荐用户部署多套 御界 探针来做镜像流量还原及检测。若总流量较大需要较高的平台处理性能时,推荐用户集群化部署御见平台。
说明:
单网络出口和多网络出口部署情形相类似,通常多出口的情况下需要有多套探针来分别采集对应的出口流量。
御见将对网络流量进行解析并存储全流量日志,会占用较大的存储资源,按经验值,1G流量每三个月需要消耗40T存储空间。
说明:收集第三方日志时,存储空间需要另行计算。
御见定位为感知分析,将流量、日志等数据汇聚后,进一步关联分析与展现。御见不对其他设备进行管理与控制。
御见提供两块标准 2D 大屏(资产安全态势和威胁态势),同时可对接 3D 态势大屏。通常情况下,用户可根据业务需要进行 3D 大屏定制,但会收取定制费用。
御见采用软件化部署模式,但对部署的机器性能有一定的要求。主要要求如下:
| 方案组件 | 系统组件 | 组件功能 | 1G流量 | 5G流量 | 备注 |
|---|---|---|---|---|---|
| 御界探针 | 流量分析引擎 | 流量分析 | CPU:E5-2630v4(10核2.2G主频)* 1 内存:64G DDR4 硬盘:2T 网卡:1G * 2电口 文件分析量:1w - 1.5w/天 | 【CPU:E5-2670v4(12核2.3G主频) * 2 内存:128G DDR4 硬盘:4T 网卡:10G * 2电口】* 2套 文件分析量:4w - 6w/天 | - |
| 哈勃沙箱 | |||||
| 御见平台 | 大数据存储平台 | HIVE + HDFS | 【CPU:E5-2630v4(10核2.2G主频)* 1 内存:64G DDR4 硬盘:10T 网卡:1G * 2电口】* 3套 | 【CPU:E5-2670v3(12核2.3G主频) * 2 内存:256G DDR4 硬盘:20T 网卡:10G * 2电口】* 3套 | 1. 大数据平台按分布式部署,最少需要3台服务器;且支持平行扩容。 2. 离线存储可按用户实际的需求确定,平台支持存储资源平行扩容。 |
| 日志解析引擎 | 腾讯云安全日志 | ||||
| 第三方日志 | |||||
| 安全分析引擎 | 智能安全检测 | ||||
| 溯源分析引擎 | 全文索引 |
