Создайте собственную платформу Security Analytics
Пример использования
- Учитывая, что кибербезопасность представляет собой серьезную проблему для всех организаций, нам необходимо создать платформу для анализа событий безопасности и предоставления информации группе безопасности для принятия мер.
- Ни одна организация не привязана к одному инструменту для ведения своего бизнеса.
- Безопасность — большая проблема для всех систем и инструментов, используемых в организации.
- Цель состоит в том, чтобы собрать все события безопасности из разных инструментов и проанализировать их, чтобы предоставить информацию команде безопасности.
- Возможность проводить анализ киберугроз и предоставлять информацию команде безопасности
- Предоставление информации о киберугрозах директору по информационной безопасности и команде безопасности
- Существует также множество проблем при создании платформы аналитики безопасности.
- Больше всего внимания уделяется технологическому пространству
- Некоторые делают в инфраструктурном пространстве
- Некоторые делают в пространстве приложений
- Как мы создаем что-то, что может охватывать все вышеперечисленное
- Как мы обеспечиваем физическую, виртуальную и кибербезопасность
- Учитывая, что у нас все работает на компьютерах, как нам построить платформу, которая может анализировать все события безопасности?
Цель
- Создайте платформу, которая может анализировать все события безопасности из разных инструментов и источников.
- Возможность гибко добавлять новые источники и инструменты
- Способность быть гибкими для поиска новых угроз и идей
- Умение анализировать первопричины
- Не полное решение, а платформа, на которой можно построить законченное решение.
- Возможность хранить большое количество данных в течение длительного времени
- Возможность проводить оперативный анализ в режиме реального времени.
- Нет готовых панелей инструментов, но есть возможность создавать свои собственные панели.
- Способность находить новые варианты использования и угрозы
Архитектура
Объяснение архитектуры
- Над архитектурой идет слева направо
- С левой стороны все наши исходники
- Источниками могут быть любые системы или приложения
- Все собранные данные проходят через концентратор событий, который действует как агент приема.
- Концентратор событий можно масштабировать по мере необходимости.
- Из концентратора событий У обозревателя данных Azure есть соединитель для извлечения данных из концентратора событий и их сохранения во временных таблицах.
- Затем мы можем превратиться в окончательные таблицы с правильной схемой.
- Теперь есть много возможных изменений схемы
- Мы можем принести данные в виде динамической схемы, а затем преобразовать в окончательную схему, чтобы она соответствовала источнику, чтобы сохранить бизнес-логику.
- Azure Data Explorer имеет возможность хранить горячие и холодные данные только с конфигурацией.
- Размер обозревателя данных Azure также масштабируется по мере необходимости.
- Передача холодных данных в запрос также довольно проста с помощью Azure Data Explorer.
- Дизайн для масштабирования и гибкости
- Оптимизированная по стоимости конструкция
- Нет необходимости выполнять работу ETL/ELT
- При необходимости мы можем расширить обработку данных с помощью Azure Synapse Spark с соединителем Azure Data Explorer.
- Ниже вы увидите архитектуру с обозревателем данных Azure, расширенным для крупномасштабного машинного обучения.
- Также возможность обработки больших данных с помощью искровых кластеров.
- Большую часть специального анализа можно выполнить с помощью обозревателя данных Azure.
- Kusto — очень мощный язык
- Также имеет возможность выполнять машинное обучение, такое как прогнозирование, обнаружение аномалий, кластеризация.
- Если вы хотите построить собственную модель в зависимости от размера и сложности данных, вы можете использовать Azure Synapse Spark с соединителем Azure Data Explorer.
- Теперь, почему нам нужно несколько вариантов, не все варианты использования в машинном обучении или глубоком обучении требуют большого количества данных, в этом случае машинное обучение Azure быстрее и повышает производительность.
- если размер набора данных увеличился, мы должны использовать Azure Synapse Spark, чтобы получить параллелизм и масштабирование.
- Вышеупомянутая архитектура также может быть расширением существующих инструментов кибербезопасности, доступных на рынке.
Оригинал статьи Samples2022/secopsplatform.md на главной · балакрешнан/Samples2022 (github.com)