IT自动化安全运维平台解决方案

年年2理数字•企业日常安全运维遇到的挑战•CASK平台如何帮助企业实现自动化安全运维•CASK平台与传统方案相比有什么区别?日益增长的告警分析人员缺乏没有统一流程的安全响应安全产品整合难整合复杂性高，需要专门的开发团队数据结构多样不同产品有不同数据，无法直接连通数据共享难不同产品位于不同的安全控制点，最早发现威胁的设备无法实时共享情报到其他安全控制节点。联动流程复杂要设计一系列安全动作要穿插大量不同产品，沉没在技术细节中3rdPARTIESIDS/IPS防火墙高级威胁防护IDS/IPS防火墙高级威胁防护邮件安全网关数据防泄漏网络流量分析主机加固端点安全上网行为管理3rdPARTIESIDS/IPS防火墙高级威胁防护IDS/IPS防火墙高级威胁防护邮件安全网关数据防泄漏主机加固端点安全网络流量分析上网行为管理22事件回溯排查验证事件目录事件联动编排女事件回溯排查验证事件目录事件联动编排女 1告警和事件女△:LogRhythm-女△44LexiLexiSyslog合规部门安全运维人员Syslog合规部门预置自动处理事件和安全操作的适配支持主流事件接口,事件约束,数十种安全产品的联动安全指标跨历史数据关联及分析自动发现安全指标（IOC）事件驱动·事件处理的SLA跟踪和指标衡量·证据收集和归档·符合监管及合规需求·实时协助和流程转移实时交互和专业工具·所有的调查动作自动生成文档安全运维中心冷elasticservIcenuwAPI安全运维中心基础架构数据湖,SIEM自动化编排分析事件告警动作执行CASK历史数据CASK历史数据消息推送和订阅连接器标准化过滤标准化过滤路由事件驱动架构适配器PARSER事件驱动架构适配器PARSERS↑↑漏洞扫描↑↑漏洞扫描代理端点安全防火墙流量代理端点安全防火墙流量分析各安全产品主机加固对外部资源进行关联整合安全设备实时响应各安全产品和设备对外部资源进行关联整合安全设备实时响应__--------------""*-------""APP下发响应确认主平台运行在云端APP下发响应确认低代码的VAIL编辑低代码的VAIL编辑事件流程编排客户端响应流程编排实时的防火墙阻断终端防护隔离主机对终端全盘查杀分配临时备用资源实时的防火墙阻断终端防护隔离主机对终端全盘查杀分配临时备用资源邮件网关阻止发信所在网络独立VLAN应用服务关闭连接APP下发核准表单防火墙端口暴露警报宿主或网络异常流量后门和木马的连接终端安全产品的事件内部系统间的攻击黑名单URL的访问实时的实时的事件驱动的联动引擎其他涌现的威胁事件30%减少平均修复时间(MTTR)95%减少告警量-客户在部署了CASK后，每周的告警数量减少告警量-客户在部署了CASK后，每周的告警数量（需要人工审核的告警）从10000减少到来自全球的安全专家开源的适配器和工具集成可复用的流程编排模版动…2 1FW发现有威胁流量的产生2令WAF对事件主机服务降级22CP令事件主机与外网断连22×4下发指令给SEPM×4SEPM令事件主机SEPM令事件主机隔离33SEPM令事件主机执行全盘查杀用…在在WAF上应用漏洞扫描在环境中自动扫描漏洞扫描发现有未防护的漏洞确认漏洞已经修复护5252…4343323244555511…11×从TIDE同步多种安全产品的威胁情报×日志命中多项高危情报4日志命中多项高危情报45656在各级安全产品上阻止连接将命中情报和动作建议发送专家确认在各级安全产品上阻止连接向远程恶意服务发起请求32向远程恶意服务发起请求3DNS将解析请求日志上报移动App--×移动App被感染主机……强国产安全产品适配事件回溯排查验证 1告警和事件 事件回溯排查验证 1告警和事件女女△4进一步的分析安全运维人员合规部门Syslog女△4进一步的分析安全运维人员合规部门SyslogCASK平台支持的对接方式适配各种产品、系统•AMQP消息•其他：UDP、OPC-UA、JDBC、JMS、log文件抓取等事件驱动-响应速度快62流式数据源1流式数据源43243开发小型项目，使用CASK平台的前后对比敏捷开发、快速迭代敏捷开发、快速迭代115种以上的开发工1122~100行左右22~100行左右2周左右的开331,000行以上的代33443个月的开发和部445555生产力提升完整团队参与生产力提升什么是低代码开发?对开发人员有什么要求?•CASK是一个高生产力的aPaaS平台，基于此平台的开发人员指定的是业务逻辑，而不是底层的实现细节。这被称为低代码。在需求定义阶段，需求方和开发人员共同定义事件和所需的操作。•由此，CASK自动创建软件应用程序的基础或开端。•CASK平台的可视化工具用于添加完成应用程序所需的分析、协作和附