Создайте собственную платформу Security Analytics

Пример использования

  • Учитывая, что кибербезопасность представляет собой серьезную проблему для всех организаций, нам необходимо создать платформу для анализа событий безопасности и предоставления информации группе безопасности для принятия мер.
  • Ни одна организация не привязана к одному инструменту для ведения своего бизнеса.
  • Безопасность — большая проблема для всех систем и инструментов, используемых в организации.
  • Цель состоит в том, чтобы собрать все события безопасности из разных инструментов и проанализировать их, чтобы предоставить информацию команде безопасности.
  • Возможность проводить анализ киберугроз и предоставлять информацию команде безопасности
  • Предоставление информации о киберугрозах директору по информационной безопасности и команде безопасности
  • Существует также множество проблем при создании платформы аналитики безопасности.
  • Больше всего внимания уделяется технологическому пространству
  • Некоторые делают в инфраструктурном пространстве
  • Некоторые делают в пространстве приложений
  • Как мы создаем что-то, что может охватывать все вышеперечисленное
  • Как мы обеспечиваем физическую, виртуальную и кибербезопасность
  • Учитывая, что у нас все работает на компьютерах, как нам построить платформу, которая может анализировать все события безопасности?

Цель

  • Создайте платформу, которая может анализировать все события безопасности из разных инструментов и источников.
  • Возможность гибко добавлять новые источники и инструменты
  • Способность быть гибкими для поиска новых угроз и идей
  • Умение анализировать первопричины
  • Не полное решение, а платформа, на которой можно построить законченное решение.
  • Возможность хранить большое количество данных в течение длительного времени
  • Возможность проводить оперативный анализ в режиме реального времени.
  • Нет готовых панелей инструментов, но есть возможность создавать свои собственные панели.
  • Способность находить новые варианты использования и угрозы

Архитектура

Объяснение архитектуры

  • Над архитектурой идет слева направо
  • С левой стороны все наши исходники
  • Источниками могут быть любые системы или приложения
  • Все собранные данные проходят через концентратор событий, который действует как агент приема.
  • Концентратор событий можно масштабировать по мере необходимости.
  • Из концентратора событий У обозревателя данных Azure есть соединитель для извлечения данных из концентратора событий и их сохранения во временных таблицах.
  • Затем мы можем превратиться в окончательные таблицы с правильной схемой.
  • Теперь есть много возможных изменений схемы
  • Мы можем принести данные в виде динамической схемы, а затем преобразовать в окончательную схему, чтобы она соответствовала источнику, чтобы сохранить бизнес-логику.
  • Azure Data Explorer имеет возможность хранить горячие и холодные данные только с конфигурацией.
  • Размер обозревателя данных Azure также масштабируется по мере необходимости.
  • Передача холодных данных в запрос также довольно проста с помощью Azure Data Explorer.
  • Дизайн для масштабирования и гибкости
  • Оптимизированная по стоимости конструкция
  • Нет необходимости выполнять работу ETL/ELT
  • При необходимости мы можем расширить обработку данных с помощью Azure Synapse Spark с соединителем Azure Data Explorer.
  • Ниже вы увидите архитектуру с обозревателем данных Azure, расширенным для крупномасштабного машинного обучения.
  • Также возможность обработки больших данных с помощью искровых кластеров.

  • Большую часть специального анализа можно выполнить с помощью обозревателя данных Azure.
  • Kusto — очень мощный язык
  • Также имеет возможность выполнять машинное обучение, такое как прогнозирование, обнаружение аномалий, кластеризация.
  • Если вы хотите построить собственную модель в зависимости от размера и сложности данных, вы можете использовать Azure Synapse Spark с соединителем Azure Data Explorer.
  • Теперь, почему нам нужно несколько вариантов, не все варианты использования в машинном обучении или глубоком обучении требуют большого количества данных, в этом случае машинное обучение Azure быстрее и повышает производительность.
  • если размер набора данных увеличился, мы должны использовать Azure Synapse Spark, чтобы получить параллелизм и масштабирование.
  • Вышеупомянутая архитектура также может быть расширением существующих инструментов кибербезопасности, доступных на рынке.

Оригинал статьи Samples2022/secopsplatform.md на главной · балакрешнан/Samples2022 (github.com)



Предложения по подаче заявок на Mlearning.ai
Как стать писателем на Mlearning.aimedium.com