搜索
RSASecurityAnalysis产品及性能优势RSASA系统独特优势1.1.1日志与网络活动无缝结合、统一检测并关联分析为实现对内部、外部安全风险的统一监测,需要实现对网络流量和日志统一收集和关联分析。对于外部风险,通过将互联网出口流量监控和安全日志集中收集和关联分析,可以实现对网络中潜伏的恶意软件进行早期发现并准确定位,尤其是潜在的APT攻击。对于内部风险,需要对所有已授权账号网络行为的流量进行统一监控并结合前端系统日志和后端业务系统、数据库日志进行关联,通过高效的分析引擎来及时发现违规操作,同时实现所有对业务系统访问行为的记录以供取证及事后审计。1.1.2事中探知、全程监控,发现未知威胁做到事中探知、早期预警。将独有的RSALIVE智能情报知识库直接融入安全数据片段,并行收集并监控网络行为,最快最全面最智能的理解IT数据和事件告警的真实安全意义和重要级别。基于情报的智能安全技术,配以可选的Spectrum恶意软件分析模块,能够通过异常行为分析和情报信息发现零日漏洞、未知恶意软件木马等,将传统边界安全基于签名和已知特征才能发现问题的漏洞和距离彻底弥补。1.1.3大数据分析平台架构BIGDATA大数据平台。同时收集和处理2-7层的网络包(Packets)数据和超过260多种设备的日志(Logs)数据,并且通过“REMOVETHEHAY”技术即时分层过滤海量数据内容,自动分析数据之间的关联性SA数据仓库(SAW)。基于HADOOP技术构建,分布式文件系统(HDFS)提供可靠数据存储服务,利用Map-Reduce技术使对结构化和复杂数据的快速、高效可靠分析变为现实。1.1.4应用会话还原,信息可视会话重建。独有的应用及行为会话重建和还原技术,将监控的数据以最佳的阅读方式展现,包括邮件、网页、IM、TEXT、HEXCODE等。RSASecurityAnalysis产品及性能优势可视性。可视性能够将应用程序和用户内容以一种全新的方式呈现出来。可视化是一种极其有用的分析能力,使得安全分析师可以使用鼠标或手指(如果配置多点触摸屏的化)放大或缩小观察收集到的流量,并可以向下钻取查看事件过程及结果。1.1.5基于风险,智能驱动智能驱动。作为RSA运营的云安全服务,RSALive可以自动整合有关威胁和欺诈的智能情报融入公司的实时网络流量和日志数据。除威胁和欺诈智能情报发送之外,RSALive还为经过SA认证和发布的Profiler(如指标、分析算法、报告、规则和软件模块)提供用户自主定义统一平台和威胁定位的能力,帮助识别和检验最新的高级威胁。环境感知。将业务环境关联于安全调查,使得安全分析师能够集中资源在对架构最紧急最重要的事件上。当告警生成时,安全分析师能够优先调查基于最关键资产的事件。1.1.6灵活部署,使用简便模块化部署,分布式级联设计。并根据客户的实际环境提供最匹配的模块功能。统一管理。SASERVER作为统一的单点应用分析平台,能够直接分析、调查平台内所有数据,管理所有设备模块,并且LIVE智能情报也通过SA直接订阅和数据关联,集管理、调查、分析和告警于一体使用简便,轻松定制。WEB统一控制面板,基于HTML5的用户界面能够实现可自定义的分析和监控用户界面,仪表盘、告警、报表等。同时,SASERVER内置大量的报表模板,以及关联规则知识库,RSALive定期还会自动更新这些模板和知识库1.1.7高性能,高可用性性能卓越。RSASA平台代表了业内领先的卓越性能。单台Decoder能够收集和处理2Gbps(每秒流量)的网络packets数据包,单台LogDecoder/Collector能够收集和处理60,000EPS(每秒事件数)。Concentrator能够为每秒钟300,000个MetaData元数据项目之间的交叉关联创建数据库和编制索引。SAW数据仓库基于HADOOP技术构建,可以无限的提高查询和分析能力,达到TB/PB环境下的秒级查询。RSASecurityAnalysis产品及性能优势1.1.8恶意威胁自动分析RSASpectrumSpectrum独特的分析和评分方法提供给安全团队一个无可比拟的恶意软件分析平台,分析所有的网络数据和行为,提供某个攻击的全部背景。综合四个独特的威胁分析维度:沙盒分析、Live智能、文件内容与行为分析。RSAFirstWatchRSAFirstWatch全球威胁研究&安全智能精英团队,为SA客户提供全球领先的,专业的,针对性的高级威胁智能情报。1.1.9开放平台,集成扩展SASDK/RestAPI开放接口,使得客户的应用程序能充分利用RSASA平台能力,通过利用安全的通讯框架,快速开发任何可信的应用程序。RSASA与传统SIEM的比较