见到小李的时候,他正坐在工位上打辞职报告,满脸写着烦躁。
小李,某公司的网管。虽说叫“网管”,其实啥都管:网络、主机、系统、安全,甚至…修电脑…
公司说大不大,说小不小,5000多口子,机房里的服务器,物理机+虚拟机,也有小100台。
就在三天前,发生了一件大事,公司的CRM服务器挂了,老板气爆了,指着小李鼻子骂——
小李一顿忙活,靠备份紧急恢复了系统,好歹没有耽误公司业务。
可是老板觉得这事儿不简单,因为半年来,类似的情况已经出了三次。
老板责令小李,三天内必须找出原因。
怎么办?小李只好带着他部门的5个兄弟,开始查日志。
遇到问题查日志,这是惯用套路。
可是,说起日志来,你懂得,那简直不是人看的,绝对能把人整崩溃!
第一个崩溃点
日!志!太!多!了!
其实小李也没想到,配置的时候只是都多打了几个勾,结果日志竟然这么多。
出口防火墙日志、服务器日志、IDPS/WAF日志告警、数据库访问日志、内网EDR管理日志、VPN远程访问日志…
而且,小李今年手贱,还做了内网和出口的全流量日志,这下可就完全不一样了,一整个大场面。
第二个崩溃点
查!询!太!难!了!
从哪里开始查起呢?这些日志不光多,不同设备和系统的日志还是独立的,千头万绪,小李只想着记日志,从来没想过查日志。
部门兄弟们也都一脸懵逼,大家平常也就看看每个系统的,很少研究过日志。
什么漏洞?高危?警告?只要系统不宕机,告警信息大家几乎都不怎么care。
之前,为了合规倒是买过一套SIEM,但根本没人看,现在要查日志了,才想起来,简直一头雾水。
第三个崩溃点
检!索!太!慢!了!
查日志的时候,小李发现了一个更头大的问题服务器被打了怎么办,有条威胁情报的告警以前被他忽略了。
这条告警显示某二进制文件有重大安全隐患,在过去一年里,该文件在公司的好多系统中都有使用。
现在,小李团队不仅要背老锅:找到之前CRM被黑问题,还要处理这个新锅:搞清楚自家系统上有多少涉及该文件的内容…
这就意味着一个天大的工作量:对过去一年的日志进行全量回扫…
小李看看自己部门的几杆枪,再看看日志扫描进度…
实在是大海捞针呀,在老板要求的之前,根本干不完,怎么办?
“老板让我背锅,我只能用辞职来甩锅了”
看到小李这个样子,我赶紧支招:先别着急跑路,我先给你推荐个神器。
这个神器,叫做「安全数据湖」。
不要被“高大上”的名字给吓住了,通俗点讲,这就是个一站式的安全日志存储、处理和智能分析平台。
说白了,就是把云原生数据湖的热门技术,“挪”到了安全日志的存储和分析场景,PB级存储,秒级检索分析。
第一,类似于传统数据湖理念,这是个高性能数据平台,湖纳百川,保证海量的日志数据能存得下、存得快、存得好。
第二,海量泛安全数据入湖后,企业安全人员通过一体化智能分析引擎,可以快速检索、分析日志,从海量数据中,挖出干货。
在分析过程中,不仅可以通过标准SQL实现秒级检索,还支持SPL高阶分析,以及丰富的报表工具和可视化BI,轻松实现事件溯源、日志审计和威胁狩猎。
第三,安全数据湖还集成了威胁情报能力,可以实时进行情报匹配,实现在线威胁发现。
也可以将湖内海量安全数据进行6个月以上的长周期情报回溯,发现潜伏的安全威胁。
小李听完这一番介绍,愣了半晌,憋出一句话来:你这个是基于公有云的吧?远水解不了近渴呀…
要不是我还算有几把刷子,就真被小李问住了。
于是,我赶紧给他介绍了安全数据湖的部署模式↓
第一种,基于公有云SaaS化模式,可以为云上租户提供内建的日志存储与分析服务。
同时这种模式也支持跨云、多云安全日志的实时导入,或者本地日志数据的实时导入。
第二种,本地化集群部署、单机部署。对于有强合规、数据不出域要求的特殊场景,可以把安全数据湖“搬回家”。
完全在本地实现安全日志的归集、存储、处理、分析。
所以,小李的情况,无论用“云上SaaS湖”还是“本地自建湖”,其实都可以。只要数据入了湖,分分钟能搞出结果来。
听完这些,小李松了一口气,马上又眉头紧锁起来,因为还有个大问题:钱!因为小李知道,集团在安全上虽然出了事吱哇乱叫,但不出事时预算总是很有限。
前面的坑还没填,这节骨眼再找老板要预算,那不是火上浇油?
小李这次又问到了点子上,我赶紧给他出了一个“白嫖”方案。
先讲一个基本道理:湖虽然很大,啥都存得下,但安全数据湖的存储效率极高,通过极致的算法,摄取日志与存储空间的平均压缩比可以达到15:1。
与传统日志方案相比,安全数据库可以节省10倍以上的硬件成本。
小李公司那十几个T的日志,看起来很大服务器被打了怎么办,放到湖里,那就是毛毛雨呀。
所以,我给小李的“白嫖”方案是这样的↓
最终,小李采纳了这套方案,1天时间本地建湖,1天时间导入日志,结果,只花了10分钟完成了攻击溯源和全量日志回扫。
这一番操作,让小李和他的信息部在集团赚足了面子,老板对结果也表示满意,并批准了小李的后续方案:安全日志实时上云入湖,杜绝后患。
到这一步,事情算是完美解决了,接下来是我们彩蛋时刻
这个神器,到底是哪家的产品呢?
没错,安全数据湖是腾讯云基于云原生技术打造的高性能、低成本、纯自研、全栈国产化的安全大数据分析平台。
为企业提供一体化的泛安全数据接入、加工、存储、分析、告警、可视化的服务。
企业的泛安全数据可以通过多种方式入湖(Kafka、、TCP、UDP等),PB级存储,秒级分析检索。
湖里内置多种可视化工具,帮助企业安全运营/运维人员轻松完成威胁分析、威胁溯源、日志审计、运维监控等多种安全实战任务。
同时,这个“湖”还具备了「插件化」的应用开发能力,企业可以根据自己的安全需求,在湖上开发自己的专用安全APP。也可以通过数据湖的API/SDK,与SoC、SIEM、XDR等系统联动,全面赋能各类安全场景。
如果你也和小李一样,被海量日志困得一筹莫展,或者受够了传统SIEM的低效难用,或者被老板逼着压缩日志处理成本,又或者需要寻找国产化替代方案…
那么,不妨来湖里试试
限时特惠:本站持续每日更新海量各大内部创业课程,一年会员仅需要98元,全站资源免费下载
点击查看详情
站长微信:Jiucxh
