一、解决方案简介

腾讯基于新一代安全日志大数据平台架构的高级威胁安全治理解决方案，依托于威胁情报云，提供*****手威胁情报，一站式情报服务，大化发挥情报在整个企业组织安全运营体系下的价值；集成安全专家与AI能力，能够提高安全运营自动化效率，对安全事件进行自动化调查和响应。同时挖掘内部威胁，充分利用高价值数据，实现全方位态势感知能力；通过SaaS化服务实现云端赋能，提供云监测、攻击面梳理、威胁检测与响应等服务，整合产品/服务/人员，构建完善的安全服务支撑体系，从而实现安全价值大化。

二、应用场景痛点简介

随着云计算的普及和数字化转型席卷而来，网络威胁呈指数型爆炸增长，威胁源、威胁类型、威胁事件加速迭代且相互交织利用，隐蔽性和针对性极强，对工具和事件间的联动协作能力要求越来越高，集成多种安全产品和安全解决方案的现代化一体安全运营需求越来越强烈。需要进一步整合SIEM、UEBA、SOAR、TIP、EDR、NDR以及云上安全解决方案等多种安全产品和解决方案，适应多种环境。为此，基于新一代安全日志大数据平台架构的高级威胁安全治理解决方案应运而生，基于新一代安全日志大数据平台架构的高级威胁安全治理解决方案有效整合多个产品或平台间割裂的数据和响应能力，从预测、防御、检测和响应四个维度构建一体化、智能化、专业化的全面威胁感知与响应体系，为金融行业客户提供更优的威胁检测效果和事件响应效率。

腾讯基于新一代安全日志大数据平台架构的高级威胁安全治理解决方案能够为客户不同的应用场景和业务目标，提供强大的平台支撑和安全能力赋能。包括：

多云/混合云/多租户统一安全运营：实现云上、云下、IDC数据中心的安全统一运营，并与企业中的安全设备和业务系统对接，实现多云混合云环境下多级平台的统一安全运营。

日常运营、等保合规场景：统一管理企业内安全产品，收集所有IT资产产生的安全信息，进行预测、防御、检测和响应，支撑日常运营。并满足等保2.0关于安全管理、日志审计等合规需求。

实战攻防、安全态势感知：聚焦威胁运营，为安全运营团队提供立体的安全态势感知、精准的威胁检测、高效的调查和响应能力。

内部威胁与违规：通过UEBA和自定义AI平台，解决内部威胁问题，包括远程办公、内网渗透、内部破坏、内部违规、数据收集和数据泄露6大主题，实现内部风险早发现，早治理。

多级平台级联监管：大型金融机构多分支一体化安全监管或行业主管单位安全监管场景，上级单位需要对下属单位的安全情况统一安全检测和指挥调度，实现多级联动、情报共享的一体化运营。

三、解决方案亮点介绍

腾讯基于新一代安全日志大数据平台架构的高级威胁安全治理解决方案采用集中管理方式，统一管理企业内安全产品，收集企业和组织中所有IT资产产生的安全信息，进行统一的实时监控、审计分析、调查取证，以预测、预防、检测、评估和响应安全威胁与事件。

腾讯基于新一代安全日志大数据平台架构的高级威胁安全治理解决方案目标是支撑客户在多云混合云架构下，日常运营和攻防对抗场景下，统一的安全管理、威胁检测、大数据分析、调查取证、和响应处置。满足Gartner对现代SOC定义。

为了更好地应对当前企业安全运营面临的新形势，腾讯基于新一代安全日志大数据平台架构的高级威胁安全治理解决方案具备以下能力：

适应数字化转型需要：能够覆盖多云、混合云场景，还能以SaaS化、服务化的形式交付。

聚焦威胁运营：安全运营的重点是威胁运营，SOC需要首先具备的核心能力为TDIR（Threat Detect, Investigate and Respond威胁检测、调查和响应），并覆盖内部威胁场景。

海量安全大数据处理能力：需要支持海量数据遥测、检测、分析、调查取证。

具备权威的安全的评价体系：可直观快速的评估企业威胁检测能力覆盖度，遭受的攻击手法和攻击阶段。

集成安全专家经验和AI能力：实现威胁自动化调查和响应，提升安全运营效率。

腾讯基于新一代安全日志大数据平台架构的高级威胁安全治理解决方案聚焦TDIR，为用户提供数据遥测、安全检测、威胁狩猎、调查分析、联动响应、安全可视等威胁闭环运营能力。如下图所示解决方案功能架构：

解决方案功能架构图

聚焦TDIR：腾讯基于新一代安全日志大数据平台架构的高级威胁安全治理解决方案聚焦TDIR，将安全运营的主体从安全告警升级为安全事件。重点推出“原始事件/日志->安全告警->安全事件”的安全数据处理流程。安全数据湖支持海量原始事件/日志的存储、分析和快速查询。关联引擎、UEBA和自定义AI平台支持1000+规则对原始事件/日志进行分析，生成安全告警。通过安全事件自动调查、响应和处置大幅提升威胁运营效率，实现企业全网安全态势可知、可见、可控的闭环。

TDIR示意图

海量大数据分析和处理能力：除了ES和HDFS大数据存储技术外，腾讯基于新一代安全日志大数据平台架构的高级威胁安全治理解决方案还提供第二代大数据技术——云数据仓库 ClickHouse，云对象存储COS。实现海量告警、日志、流量数据和事件模型的热/温/冷数据分离，支持180天以上数据存储和分析。并对安全数据进行分类和分级，在成本和收益间达到理想的平衡。

完备的安全评价体系ATT&CK：腾讯基于新一代安全日志大数据平台架构的高级威胁安全治理解决方案以MITRE ATT&CK技战术框架为指导，全面升级安全检测体系，实现ATT&CK企业矩阵的全面覆盖。以ATT&CK框架评价安全指标，支持ATT&CK能力可视化。全面而直接地展示当前企业防护能力全局和面临的威胁全景。另外腾讯基于新一代安全日志大数据平台架构的高级威胁安全治理解决方案提供威胁狩猎Threat hunting，从“被动检测”走向“主动发现”，帮助企业主动发现IT环境中未被防护体系检测到的安全威胁。基于ClickHouse数据湖，以ATT&CK框架指导，通过类SQL对资产、漏洞、日志、告警、事件进行长周期多维数据关联分析。平台预置数百个威胁狩猎模版，覆盖日常运营和攻防对抗场景。

集成专家经验+AI实现自动调查和响应：为了从根源上解决“告警疲劳” 这一业内难题，腾讯基于新一代安全日志大数据平台架构的高级威胁安全治理解决方案将威胁情报云上安全专家在事件分析、调查、取证、溯源的能力和经验形成知识库，推出自动调查功能。通过自动调查生成安全事件（Incident），基于资产、时间线、ATT&CK技战术进行关联，自动还原攻击过程中，采用的战术、技术、过程、相关的上下文以及造成的影响，以时间线（Timeline）的方式呈现。并给出安全事件的严重级别、描述和处置建议。将每天十万甚至百万级安全告警降到<100/天，达到可运营状态。自动响应：为了帮助客户提高安全运营效率，腾讯基于新一代安全日志大数据平台架构的高级威胁安全治理解决方案提供SOAR安全编排和自动响应能力，旨在“使用虚拟作战室和AI机器人解决应急响应过程中人人协同、人机协同的问题，借助SOAR降低安全响应过程严重依赖人工的问题”，更能够在真正的攻防对抗实战中为防守方争取时间，加速威胁响应处置。 

四、金融行业客户名单

海通证券、中信建投证券、深交所、广州农商行

五、客户评价

海通证券评价：

腾讯基于新一代安全日志大数据平台架构的高级威胁安全治理解决方案，提供扎实的数据能力底座，构建实战级的安全场景建设，实现自动化的安全编排级响应，可针对安全运营效果进行量化展现。

通过部署该方案，平均每天对4千万条日志接入和解析，日志归一化失败率低于十万分之一；系统数据采集处理性能≥20000EPS，亿级海量数据查询响应时间≤20秒，安全数据存储时间满足180天以上，在20000EPS的日志处理性能下UDP和TCP传输无丢包现象。

在使用该方案的过程中，基于ATT&CK知识框架，规划了38个场景化的200+条安全检测场景化规则，高危安全事件可当日发现当日闭环，有效利用大数据分析技术实现对安全威胁进行统一威胁监测、安全检测、处置闭环。