蔷薇灵动微隔离数据分析与决策平台(ZSIEM)是一款基于零信任理念,面向数据中心东西向流量进行大数据安全分析和监测处置的平台化产品。该平台以自适应微隔离系统的运行数据为算据,从业务、资产、暴露面等视角对工作负载间的东西向访问进行多维分析和可视化展现,并基于时序性的连接基线进行异常行为告警及处置,同时以数字化指标评估牵引数据中心微隔离建设成效提升。
核心功能
微隔离运营成效量化评估
对自适应微隔离系统所纳管资产的业务标签标识率、安全策略防护率、端口暴露面评分、连接及阻断情况排名等进行全局计算统计,量化评估微隔离系统的运营水平和策略管理薄弱环节,从而以关键运营指标牵引微隔离应用效果提升。
东西向暴露面评分及统计
基于工作负载的监听端口、策略规则、访问连接进行关联分析,计算全局、业务及资产的端口暴露面评分、暴露面收敛率、非必要暴露面等指标,并通过可视化、排行等方式多维展现,帮助用户洞察业务资产的暴露面水平及策略优化空间。
东西向暴露面评分及统计
基于工作负载的监听端口、策略规则、访问连接进行关联分析,计算全局、业务及资产的端口暴露面评分、暴露面收敛率、非必要暴露面等指标,并通过可视化、排行等方式多维展现,帮助用户洞察业务资产的暴露面水平及策略优化空间。
业务及资产访问连接分析
面向各业务应用系统和工作负载资产,对其连接、阻断、预阻断记录进行多维关联及时序分析,基于访问关系规模、次数、对象类型、源目范围、协议/端口等进行综合排名和基线偏离统计,为用户提供运行监测、异常发现的数据支撑。
异常事件监测告警及处置
通过强大的事件规则定义引擎,对端口扫描、地址探测、访问时段异常、访问量激增、访问源/目的发散等异常访问情况,及工作负载策略篡改、策略执行组件离线等异常运行情况进行告警,并基于策略联动对相关资产进行隔离处置。
异常事件监测告警及处置
通过强大的事件规则定义引擎,对端口扫描、地址探测、访问时段异常、访问量激增、访问源/目的发散等异常访问情况,及工作负载策略篡改、策略执行组件离线等异常运行情况进行告警,并基于策略联动对相关资产进行隔离处置。
优势特性
以近站数据为统计分析算据
平台的数据采集点覆盖微隔离系统纳管的各个工作负载,相较传统仅能够在网关或关键节点采集数据的方案,通过对更为广泛、丰富且真实的“近站”数据进行计算,能够实现覆盖全局、全面多维、精细深入的分析效果。
以时序基线为行为异常判据
与传统基于攻击告警和威胁情报等面向攻击特征的安全检测方法不同,平台通过长周期时序性数据对正常业务访问建立基线,并通过基线偏离判别异常,基于由“黑”转“白”的检测手段,可实现更为实时主动的威胁感知。
以业务属性为多维关联主线
利用微隔离系统对工作负载的“身份化”管理能力,平台获得的任何工作负载数据均带有其特定的业务属性,与网络流量采集及分析方案相比,平台所有统计和分析结果均天然具备业务视角,从而提供更具洞察力的展现。
以工作负载为精准处置单元
基于微隔离系统的分布式策略执行能力,由平台下发的应急处置策略能够直接作用于具体的工作负载,相比过往借助边界安全设备进行处置的方式,平台利用微隔离系统实现更为精准的原子级孤岛隔离和全局封禁处置效果。
用户价值
核心资产暴露面量化管理
建立面向业务及资产的暴露面量化管理体系,帮助用户对工作负载的非必要暴露面建立可发现、知风险、能收敛的管理能力,筑牢基础架构安全根基。
提升威胁感知及处置能力
基于独特的分析算据、异常判据及近站策略实施能力,显著提升用户对数据中心内网威胁的洞察力和处置力,补强面向新型网络攻击的积极防御能力。
数字牵引微隔离安全运营
结合微隔离实施“五步法”,对微隔离应用各环节工作成效量化评估,帮助用户明晰现状、聚焦差距、找准抓手,持续牵引数据中心零信任水平提升。
