如何評估大數據安全分析產品(2)

　　事件數據的收集粒度是不同的。例如，網絡報文就是底層、細粒度的數據;而有關任何管理員密碼變化的日志項就是粗粒度的。盡管數據的收集粒度不同，他們之間仍然是有關聯的。網絡報文就可能包含了攻擊者訪問服務器，甚至在取得訪問權限后修改管理員密碼的相關信息。

　　不同類型的事件數據的含義也各不相同。網絡報文信息可以幫助分析人員了解兩個終端之間傳輸的內容，而一份漏斗掃描日志在某種意義上描述了服務器或其他設備在一段時間內的運行狀態。大數據安全分析平臺需要理解這些數據類型的含義，以更好的進行數據集成。

　　RSA Security Analytics的解決辦法是采用一個模塊化的結構，以此保證在維持增量添加其他源的能力的同時，支持多種數據類型。平臺本身是為了捕獲大規模的滿報文、NetFlow數據、末端數據和日志。

　　有時，多個數據類型就意味著多種安全工具。例如，IBM的QRadar就有一個漏洞管理組件。該組件專門負責從各種各樣的漏洞掃描器中整合數據，并把網絡使用相關的信息添加到數據中。IBM的Security QRadar Incident Forensics是另外一個專門利用網絡流數據和full-packet抓包來分析安全事故的模塊。該取證工具包括了一個能夠對TB級別的網絡數據進行檢索的引擎。

　　LogRhythm的Security Intelligence Platform是另外一個大數據安全分析平臺的例子。該平臺支持非常多的數據類型，包括系統日志、安全事件、審計日志、機器數據、應用日志以及流數據。通過分析來自這些源的原始數據，它可以產生有關文件完整性、進程活躍度、網絡通信情況、用戶以及活動的二級數據。

　　Splunk Enterprise Security允許分析人員檢索數據并執行可視化關聯，以此識別惡意事件和收集有關這些事件上下文的數據。

　　因素3：可擴展的數據獲取

　　大數據分析安全產品必須要能夠從服務器、終端、網絡和其他架構組件中獲得數據。這些設備的狀態是一直都在發生變化的。數據獲取組件的主要風險在于它是否能夠及時接收流入的數據。一旦數據獲取組件出現問題，數據就會丟失，威脅到整個平臺的存在意義。

　　系統可以通過維護一個容量很大、吞吐率很高的隊列來實現可擴展的數據獲取。此外，一些數據庫通過對寫操作只追加的方法來支持大規模寫。這樣，新流入的數據直接添加到commit日志的末尾，而非磁盤的某個塊。該方法可以大大減少隨機寫操作的延遲?；蛘?，數據管理系統會維護一個寫緩沖區。如果消息出現突發傳輸或者磁盤出現寫失效，緩沖區可以幫助暫時存儲數據，等待數據庫恢復正常。

　　Splunk是一個廣為人知的數據獲取平臺。該平臺不僅提供了連接到數據源的連接器，還允許定制這些連接器。其中，獲取后的數據以比較松散的形式進行存儲和索引，以保證支持變化的數據類型和快速的查詢反饋。

　　IBM QRadar支持從單設備到跨地域的分布式系統的不同規模的部署。與其他產品類似，該大數據產品是為了滿足大公司的需求。它曾被用于處理每秒鐘幾十萬的真實應用事件。一些小的機構或剛開始使用IBM QRadar的企業或許會選擇在云環境中部署該產品，以減少硬件開銷和管理?；旌喜渴鹨彩强梢缘?。這樣，事件和流或許在云端處理，而整理后的事件數據發送會本地系統進行處理。

　　另外一個重要的整合類型就是數據增強。它是指在收集事件數據的同時，把相關的信息也一并添加進去。例如，RSA Security Analytics就會把有關網絡回話、威脅指示器等細節添加到網絡數據中，幫助分析人員更好的理解底層安全數據所面臨的情況。

　　一個大數據分析平臺如何收集收據是另外一個要考慮的關鍵點。收集數據所需要的時間使得探測安全事件的速度可以有所放緩。數據收集點的位置決定了它所收集的數據的寬度和類型。例如，Cybereason Platform部署的傳感器就運行在終端操作系統的用戶空間。這樣，數據收集就可以在影響用戶體驗和更底層內核功能的情況下進行。即使是在設備無法連接企業網絡時，Cybereason的傳感器仍然可以收集數據。

　　因素4：安全分析工具

　　Hadoop和Spark等大數據平臺都是通用型的工具。盡管它們可以被用于構建安全工具，它們本身并不是安全分析工具。大數據安全分析工具應該能夠擴展，以滿足企業所產生的大規模數據的分析需求。而Hadoop和Spark等這樣的工具正好滿足了這樣的條件。同時，分析人員也應該能夠以信息安全的角度所應該取得的抽象層次來查詢事件數據。例如，一個分析人員應該能夠查詢工作在特定服務器或應用的用戶的聯系以及這些機器/應用之間的聯系。這種類型的查詢就需要圖型分析工具，而非傳統的關聯數據庫中的行查詢或列查詢。

原文轉自：http://www.infoq.com/cn/articles/big-data-security-analysis-products