如何評估大數據安全分析產品(3)

　　Fortscale采用了數據科學中常見的機器學習和統計分析技術，以適應安全環境中的變化。這些技術使得Fortscale可以執行基于數據而非預定義規則的分析。當網絡中的基準行為發生變化時，機器學習算法可以在沒有人為更新規則集的情況下自動探測到這些變化。

　　RSA Security Analytics包括了預定義的報告和規則，使得分析人員可以很快開始使用SIEM收集到的數據。

　　安全分析也同樣非常依賴惡意行為相關的知識。RSA Security Analytics包括的RSA Live服務負責將數據處理和關聯規則發送到部署的設備中。這些新的規則可被用于分析剛到達的實時數據和存儲在RSA Security Analytics系統的歷史數據。與Fortscale類似，RSA Security Analytics也采用了數據科學的相關技術來增強分析的質量。

　　此外，LogRhythm的分析工作流包括了處理、機器分析和取證分析三個階段。處理階段負責數據轉換，提高原始數據被有用的模式探測到的可能性。它包括了事件標準化、數據分類、metadata標記和風險上下文分析。

　　因素5：合規報告、警告和監控

　　合規報告是當今企業所必須要具備的功能。很多用于合規目的的數據元素都和最好的安全實踐綁定在一起。甚至對于那些對合規報告沒有硬性需求的公司而言，合規報告也可以很好的用于內部規劃。。了解一個大數據安全平臺的報告制度滿足了企業對于合規方面的特殊需求，是非常重要的。

　　IBM Security QRadar的Risk Manager插件提供了網絡設備配置的合規及風險管理的工具。該插件的功能包括自動監控、多供應商產品審計的支持、合規策略評估以及威脅建模。

　　就像之前所提到的，Fortscale使用機器學習算法來不斷評估基準活動的變化和探測異常事件。當系統探測到這些事件時，它可以生成警告，并提供事件的相關信息。

　　為了節約終端用戶的時間，RSA Security Analytics本身就帶有近90種模板，以滿足SOX、HIPAA、PCI DSS等的報告需求。

　　SIEM系統中的報告和警告遠遠超過了固定報告和簡單警告的形式。例如，Cybereason Platform就可以自動探測惡意活動。該平臺還提供了一個調查窗口，用來將攻擊時間線、受影響的用戶和設備等信息匯總并以圖形的方式展示出來。

　　Splunk Enterprise Security提供了包含關鍵安全和性能指針以及趨勢指針的儀表盤，以進行不間斷的監控。而且該平臺還支持工作流的優先級。Splunk平臺還支持高優先級用戶的追蹤和關鍵應用程序的訪問報告。

　　Hawkeye AP本身包含了400種報告，而且支持根據特殊需求進行修改。由于Hawkeye AP使用關聯數據技術，并支持ANSI Standard SQL、ODBC和JDBC驅動，用戶可以可以使用流行的企業級報告工具來創建定制化的報告。

　　LogRhythm的平臺包括了分級后的風險的警告、標準報告和一個實時的報告儀表盤。而且，它還包括了案例管理工具、證據鎖以及事件追蹤數據等額外工具用于取證分析。

　　大數據安全分析工具的功能

　　大數據安全分析工具可以分析很多種的數據類型，也可以處理大規模的數據。當然，并非所有的機構都需要用到當前大數據安全分析產品的所有功能。但是，正在尋找保護企業數據安全工具的機構應該考慮大數據安全分析工具所能扮演的角色。

　　對于大企業和需要存儲詳細的事件數據的企業，IBM QRadar是一個不錯的選擇。該平臺能夠擴展到P字節規模的能力將會是一個很大的亮點。Hawkeye的數據倉庫模型和列導向存儲使得它能夠針對信息安全進行商業智能的報告。這樣，當企業需要高級報告或者定制化的報告時，Hawkeye AP就是一個很好的選擇。而當企業需要在設備離線的情況下繼續捕獲事件數據時，它可以考慮Cybereason。此外，RSA Security Analytics和LogRhythm's Security Intelligence Platform可以很好的配合來處理很多數據類型的情況。Splunk提供了大量的數據源連接器，可以很好滿足擁有大量數據源的企業的需求。

　　大數據安全分析目前主要被大企業所采用。但是，隨著相關工具的花費和復雜度不斷降低，中等規模的企業、甚至小企業最后也肯定會意識到該技術的好處。

原文轉自：http://www.infoq.com/cn/articles/big-data-security-analysis-products