原始数据
data/raw_msg从其他环境(IDC环境、云环境、混合环境等)、第三方设备数据源采集的原始数据,包括日志和流量。流量通常仅支持御界的流量通信日志,日志通常包括:第三方安全设备告警日志、御界告警日志、系统日志(linux/Win)、应用日志等。
日志
event/log经过SOC归一化引擎,将多源异构数据进行采集、解析、归一化和补充上下文信息后的泛化数据,方便用户进行统一的检测与分析。
告警
alarm经过SOC威胁检测模块(关联分析、UEBA)对日志进行检测分析,日志命中规则或策略后产生的结果,该结果待用户进行闭环处置。
事件/安全事件
incident经过SOC的自动化调查引擎,将相关联的告警数据根据时间线、资产和ATT&CK技战术串联起来,生成一个待响应处置的安全事件,并给出严重级别、事件描述和处置建议。目的是将需要人工介入和关注的严重事件收敛至合理的数量级。
TI
TI(Threat intelligence)是威胁情报的简称,是基于背景、机制、指标、影响和可采取行动等证据、知识或建议,涉及对资产的现有或新出现的威胁或危害,可用于为有关主体应对措施的决定,提供这种威胁或危险的信息。
沙箱
沙箱(Sandbox)是一个在沙盘环境中运行浏览器或其他程序的虚拟系统程序,因此运行所产生的变化可以随后删除。它创造了一个类似沙盒的独立作业环境,在其内部运行的程序并不能对硬盘产生永久性的影响。
IDS
IDS(Intrusion Detection System)是入侵检测系统的简称,是一种对网络传输进行即时监视,在发现可疑传输时,发出警报或者采取主动反应措施的网络安全设备。
态势感知
态势感知(Situation Awareness)是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地。
威胁狩猎
威胁狩猎(Threat Hunting)通过主动和交互式搜索网络数据的过程,来挖掘和处置一些能逃避现有安全解决方案的高级威胁。
ETL
ETL 是 Extract-Transform-Load 的缩写,即提取、转化、存储。用来描述将数据从来源端经过抽取(extract)、交互转换(transform)、加载(load)至目的端的过程。