隨著企業(yè)信息安全管理的不斷深入和成熟，我們發(fā)現(xiàn)在對(duì)企業(yè)的信息數(shù)據(jù)進(jìn)行安全層面的防護(hù)和治理過(guò)程中，對(duì)數(shù)字資產(chǎn)進(jìn)行抽絲剝繭式的分類(lèi)處理以及構(gòu)建關(guān)聯(lián)分析模型讓企業(yè)發(fā)現(xiàn)了新的業(yè)務(wù)端口，這種新收益對(duì)企業(yè)用戶來(lái)說(shuō)十分珍貴，而且安全數(shù)據(jù)的威脅建模技術(shù)和響應(yīng)處置手段在這一過(guò)程中發(fā)揮了重大作用，但仍有不足，因?yàn)楝F(xiàn)階段大多數(shù)企業(yè)的安全數(shù)據(jù)處理能力并不能將資產(chǎn)的全部?jī)r(jià)值挖掘出來(lái)，所以企業(yè)在對(duì)威脅檢測(cè)和響應(yīng)處置方面也面臨著許多挑戰(zhàn)，本期《牛人訪談》，我們邀請(qǐng)到了日志易安全產(chǎn)品技術(shù)總監(jiān)施澤寰先生，針對(duì)數(shù)據(jù)在采集、清洗、檢測(cè)、響應(yīng)等方面的技術(shù)特點(diǎn)以及未來(lái)發(fā)展進(jìn)行了深度的解析與專(zhuān)業(yè)分享。

　　日志易安全產(chǎn)品技術(shù)總監(jiān) 施澤寰

　　一、隨著企業(yè)業(yè)務(wù)數(shù)字化程度的不斷加深，企業(yè)數(shù)字資產(chǎn)也在成指數(shù)增長(zhǎng)，數(shù)字資產(chǎn)的安全防護(hù)已經(jīng)變得越發(fā)重要，您認(rèn)為現(xiàn)階段企業(yè)用戶在日志、數(shù)據(jù)的處理和安全檢測(cè)方面面臨哪些挑戰(zhàn)？

　　施澤寰：在實(shí)際工作中，企業(yè)一般會(huì)采購(gòu)不同廠家的安全產(chǎn)品，構(gòu)建自身的安全防御體系，這也導(dǎo)致了需要采集的數(shù)據(jù)類(lèi)型繁雜，所以一般我們前期需要根據(jù)規(guī)劃（比如根據(jù)網(wǎng)絡(luò)區(qū)域，安全風(fēng)險(xiǎn)，威脅場(chǎng)景等因素），對(duì)不同類(lèi)型的數(shù)據(jù)（像安全設(shè)備、網(wǎng)絡(luò)設(shè)備、系統(tǒng)日志、應(yīng)用日志以及流量等數(shù)據(jù)）進(jìn)行采集，并在完成相關(guān)數(shù)據(jù)采集之后，再對(duì)數(shù)據(jù)進(jìn)行范式化。而在范式化的過(guò)程中，如果沒(méi)有內(nèi)置的解析規(guī)則以及靈活的解析能力，就需要對(duì)相應(yīng)的數(shù)據(jù)源逐個(gè)進(jìn)行解析，這會(huì)耗費(fèi)大量的實(shí)施時(shí)間，從而導(dǎo)致在上層應(yīng)用場(chǎng)景的分析/交付上投入不足。

　　結(jié)合日志易實(shí)際經(jīng)驗(yàn)，我認(rèn)為日志處理和安全檢測(cè)是一個(gè)包含全數(shù)據(jù)采集、數(shù)據(jù)清洗、數(shù)據(jù)存儲(chǔ)查詢、數(shù)據(jù)分析、威脅建模等一系列環(huán)節(jié)在內(nèi)的威脅統(tǒng)一管理的全過(guò)程。其面臨的挑戰(zhàn)主要有三個(gè)：

　　一是（用戶環(huán)境中的）數(shù)據(jù)采集以及清洗等日志基礎(chǔ)處理能力的不足。這直接影響到安全威脅檢測(cè)模型的構(gòu)建。在很多環(huán)境下，我們看到在進(jìn)行了日志統(tǒng)一管理之后，實(shí)際效果并不突出，可能最終只是淪為了一個(gè)日志存儲(chǔ)平臺(tái)。安全數(shù)據(jù)資產(chǎn)得不到真正有效的挖掘和利用，深層價(jià)值凸顯不出來(lái)，因此對(duì)于安全數(shù)據(jù)資產(chǎn)的深度管理和有效利用是目前日志統(tǒng)一管理所面臨的一個(gè)挑戰(zhàn)。

　　第二個(gè)是告警噪聲太多。隨著企業(yè)安全管理與防御體系的不斷發(fā)展，即使是一些中小企業(yè)，每天各類(lèi)安全設(shè)備/系統(tǒng)產(chǎn)生的告警數(shù)據(jù)都是數(shù)以萬(wàn)計(jì)的，在如此量級(jí)的數(shù)據(jù)下，難以通過(guò)人工的方式，逐一進(jìn)行響應(yīng)處置。同時(shí)，也需要從噪聲（安全設(shè)備所產(chǎn)生的誤報(bào)）中去提取真正的攻擊行為，所以通過(guò)基于聚合、統(tǒng)計(jì)、關(guān)聯(lián)分析以及安全場(chǎng)景等模式構(gòu)建威脅檢測(cè)模型，與外部數(shù)據(jù)（如情報(bào)數(shù)據(jù)，資產(chǎn)信息，漏洞信息等）進(jìn)行匹配，提升告警精準(zhǔn)度是解決這一挑戰(zhàn)的有效途徑。

　　第三個(gè)是安全人員缺乏。隨著企業(yè)安全管理與防御體系的不斷發(fā)展，絕大部分企業(yè)安全人員負(fù)責(zé)的工作內(nèi)容也不斷增加，除了各種設(shè)備的維護(hù)，日常的日?qǐng)?bào)、周報(bào)以及月報(bào)等，安全合規(guī)管理，項(xiàng)目管理等已經(jīng)耗費(fèi)大部分人力，更遑論進(jìn)行常態(tài)化的安全運(yùn)營(yíng)（如威脅檢測(cè)、威脅分析以及威脅響應(yīng)等）。所以這也是目前MDR市場(chǎng)逐步火熱的一個(gè)原因。當(dāng)然，自動(dòng)化響應(yīng)也是企業(yè)解決上述一些重復(fù)性安全工作的一種解決方案。

　　我們目前已經(jīng)在SIEM安全大數(shù)據(jù)分析平臺(tái)中，內(nèi)置了解析規(guī)則庫(kù)，支持國(guó)內(nèi)外主流的設(shè)備/系統(tǒng)的數(shù)據(jù)預(yù)處理，也支持多種解析方式（如正則解析，劃選解析，KV解析，XML解析，JSON解析，數(shù)據(jù)脫敏，自定義規(guī)則解析，字段補(bǔ)全等方式），可大大提高數(shù)據(jù)清洗的交付效率。同時(shí)，我們還基于不同類(lèi)型、不同品牌的安全相關(guān)數(shù)據(jù)，定義了一套數(shù)據(jù)標(biāo)準(zhǔn)，統(tǒng)一對(duì)數(shù)據(jù)進(jìn)行范式化。

　　日志易SIEM安全大數(shù)據(jù)分析平臺(tái)邏輯拓?fù)?/p>

　　二、針對(duì)上述問(wèn)題，目前行業(yè)中有哪些SIEM類(lèi)安全大數(shù)據(jù)分析平臺(tái)解決方案？這些產(chǎn)品都有哪些特點(diǎn)？

　　施澤寰：以日志易的安全分析平臺(tái)為例，它是基于自研的高性能搜索引擎（Beaver）的威脅檢測(cè)、響應(yīng)與分析平臺(tái)。Beaver可以滿足企業(yè)用戶安全大數(shù)據(jù)搜索和安全威脅建?；A(chǔ)需求，并提供了安全態(tài)勢(shì)，威脅處置，調(diào)查分析，資產(chǎn)管理，漏洞管理，規(guī)則管理，任務(wù)管理，情報(bào)管理等能力。基于歷史長(zhǎng)周期數(shù)據(jù)以及實(shí)時(shí)數(shù)據(jù)，針對(duì)企業(yè)內(nèi)外部威脅進(jìn)行檢測(cè)、分析以及響應(yīng)，并通過(guò)自動(dòng)化能力，幫助用戶減少發(fā)現(xiàn)/響應(yīng)威脅的時(shí)間，提高安全運(yùn)營(yíng)效率。

　　業(yè)界有個(gè)術(shù)語(yǔ)叫做“威脅狩獵”，指的是安全人員產(chǎn)生假設(shè)，進(jìn)而圍繞著這個(gè)假設(shè)，對(duì)安全數(shù)據(jù)進(jìn)行主動(dòng)分析與驗(yàn)證。一般由某個(gè)告警事件/異常事件，如用戶權(quán)限發(fā)生變更（可疑提權(quán)）為出發(fā)點(diǎn)，展開(kāi)調(diào)查分析，又或者因某個(gè)指標(biāo)異常，如DNS請(qǐng)求數(shù)激增、DNS子域名字段熵值激增，進(jìn)而展開(kāi)威脅狩獵。日志易的安全分析平臺(tái)基于自研搜索引擎Beaver，并通過(guò)SPL（Search Processing Language）靈活及迅速地完成某類(lèi)威脅的狩獵。SPL語(yǔ)言是專(zhuān)為實(shí)現(xiàn)對(duì)日志這種非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行搜索、分析而開(kāi)發(fā)的處理語(yǔ)言，它實(shí)現(xiàn)了數(shù)百個(gè)SPL函數(shù)及指令，全面覆蓋日常安全分析工作的需要，并對(duì)接了多種機(jī)器學(xué)習(xí)算法，以實(shí)現(xiàn)安全場(chǎng)景的異常檢測(cè)。

　　無(wú)論是邊界突破、還是內(nèi)網(wǎng)橫向移動(dòng)等不同場(chǎng)景下的攻擊，都可以通過(guò)SPL中的不同函數(shù)對(duì)相關(guān)的安全數(shù)據(jù)進(jìn)行分析處理，從而發(fā)現(xiàn)可能存在的異常；此外，日志易安全分析平臺(tái)，還具有圖分析功能。通過(guò)把企業(yè)用戶的安全數(shù)據(jù)以及相關(guān)的信息，如資產(chǎn)信息、漏洞信息，可視化為一個(gè)攻擊關(guān)系圖，從而去發(fā)現(xiàn)一些可能存在異常的實(shí)體。這些實(shí)體可能是一個(gè)IP、一個(gè)主機(jī)、一個(gè)用戶或者是某個(gè)域名等等，然后再對(duì)這些實(shí)體進(jìn)行展開(kāi)進(jìn)一步的調(diào)查，去發(fā)現(xiàn)威脅告警、異常事件與其關(guān)聯(lián)性，實(shí)現(xiàn)對(duì)安全威脅與風(fēng)險(xiǎn)的探索與調(diào)查分析。所以日志易的特點(diǎn)在于基于自研的自研搜索引擎Beaver，通過(guò)SPL（Search Processing Language）與圖分析為用戶提供靈活的安全分析與威脅建模能力，實(shí)現(xiàn)不同維度安全數(shù)據(jù)（安全設(shè)備告警，流量、主機(jī)日志，應(yīng)用日志，情報(bào)信息，資產(chǎn)信息以及漏洞信息等）的關(guān)聯(lián)，從而探索企業(yè)網(wǎng)絡(luò)中可能存在的異常事件，并進(jìn)行攻擊鏈路回溯。

　　三、市場(chǎng)上現(xiàn)存的各類(lèi)安全分析平臺(tái)產(chǎn)品主要基于了怎樣的分析和威脅檢測(cè)規(guī)則？

　　施澤寰：首先，我們把數(shù)據(jù)類(lèi)型概括為兩個(gè)維度，一個(gè)是網(wǎng)絡(luò)維度，如來(lái)自防火墻、WAF等網(wǎng)絡(luò)、安全設(shè)備的數(shù)據(jù)；以及HTTP、DNS、TLS、SMB、DHCP等協(xié)議的流量數(shù)據(jù)；另外一個(gè)是端點(diǎn)維度，如主機(jī)系統(tǒng)日志（Linux/Windows/AIX等），HIDS/EDR的數(shù)據(jù)，基于特定的安全場(chǎng)景、不同的數(shù)據(jù)源可生成不同的規(guī)則。我們的安全分析平臺(tái)威脅檢測(cè)規(guī)則庫(kù)主要基于1000+的規(guī)則場(chǎng)景庫(kù)，而且規(guī)則庫(kù)也是基于外部態(tài)勢(shì)、項(xiàng)目實(shí)踐以及安全研究，不斷進(jìn)行更新迭代。

　　而目前市場(chǎng)，主要有黑名單檢測(cè)與白名單檢測(cè)兩種思路。黑名單檢測(cè)思路一般以聚合、統(tǒng)計(jì)、關(guān)聯(lián)分析（特征匹配，情報(bào)關(guān)聯(lián)、時(shí)序關(guān)聯(lián)等）作為規(guī)則場(chǎng)景的主要落地模式。例如：當(dāng)在某個(gè)安全設(shè)備（如WAF或IPS）發(fā)現(xiàn)了一個(gè)攻擊來(lái)源，未知攻擊者采用通過(guò)該IP地址發(fā)起多次不同類(lèi)型的漏洞利用嘗試，雖然從告警結(jié)果上看都未成功，但是此時(shí)發(fā)現(xiàn)被攻擊的對(duì)象（資產(chǎn)），此后在某段時(shí)間后（這里的時(shí)間周期定義需要衡量）出現(xiàn)了一些異常行為（比如出現(xiàn)新的賬號(hào)或原有賬戶出現(xiàn)權(quán)限變更等行為），那么從攻擊角度上看，有可能出現(xiàn)WAF Bypass/IPS Bypass等（小概率事件）的情況，那么兩個(gè)事件之間會(huì)存在關(guān)聯(lián)性（指的是多次漏洞利用嘗試與賬戶異常行為之間），可以將其配置為關(guān)聯(lián)規(guī)則，當(dāng)觸發(fā)告警時(shí)，值得我們更加關(guān)注。所以這種安全場(chǎng)景就屬于一個(gè)威脅檢測(cè)規(guī)則。

　　另一種白名單檢測(cè)思路，一般有異常檢測(cè)模式。一般來(lái)說(shuō)，在企事業(yè)單位中，大部分的事件（比如系統(tǒng)層上發(fā)生的事件、網(wǎng)絡(luò)層上發(fā)生的事件）都是屬于正常事件。而異常事件，一般都是小概率事件。我們需要去發(fā)現(xiàn)這些小概率事件，如執(zhí)行不常見(jiàn)的命令，出現(xiàn)不常見(jiàn)的父子進(jìn)程，第一次出現(xiàn)的進(jìn)程，第一次出現(xiàn)的賬戶，靜默賬戶（比如30天沒(méi)登錄行為）出現(xiàn)第一次活動(dòng)等，所以也需要基于歷史的數(shù)據(jù)構(gòu)建正?；€，之后再與實(shí)時(shí)數(shù)據(jù)進(jìn)行對(duì)比，進(jìn)而發(fā)現(xiàn)異常行為，這也是目前一類(lèi)規(guī)則場(chǎng)景的落地方式。

　　四、請(qǐng)您結(jié)合自身實(shí)際經(jīng)驗(yàn)，談一談在安全運(yùn)營(yíng)中，自動(dòng)化響應(yīng)和人工響應(yīng)應(yīng)該如何配合？目前在企業(yè)中比例分配如何？

　　施澤寰：基于我們的研究與實(shí)踐，我們認(rèn)為自動(dòng)化響應(yīng)實(shí)現(xiàn)的前提是要確保告警的準(zhǔn)確度，威脅檢測(cè)模型要能夠輸出精準(zhǔn)的分析，然后再將這些告警交給自動(dòng)化響應(yīng)平臺(tái)（或者說(shuō)模塊）去處理。如果告警的誤報(bào)率很高，噪聲很大，這種情況下做自動(dòng)化響應(yīng)是沒(méi)有意義的，反而會(huì)影響到業(yè)務(wù)。所以，SIEM是實(shí)施SOAR的前提。

　　目前的安全事件自動(dòng)化響應(yīng)過(guò)程是怎樣的？舉個(gè)例子，當(dāng)平臺(tái)檢測(cè)到了邊界區(qū)域一個(gè)WEB類(lèi)的攻擊事件（比如某個(gè)簡(jiǎn)單場(chǎng)景：某個(gè)源地址發(fā)起多次SQL注入或某個(gè)源地址發(fā)起多種不同類(lèi)型的攻擊向量）后，能夠自動(dòng)地針對(duì)這一攻擊事件中的源地址進(jìn)行情報(bào)查詢判斷，并智能地根據(jù)情報(bào)查詢結(jié)果，判斷該攻擊IP是否已經(jīng)被標(biāo)記為惡意標(biāo)簽；如果它被標(biāo)記為惡意標(biāo)簽，并且已經(jīng)在平臺(tái)封禁列表中，系統(tǒng)則結(jié)束響應(yīng)流程；如果不在平臺(tái)封禁列表中，則再進(jìn)一步判斷，該IP地址是第一次出現(xiàn)還是此前出現(xiàn)了多次，并根據(jù)它出現(xiàn)的頻率智能化、自動(dòng)化地聯(lián)動(dòng)邊界安全設(shè)備實(shí)現(xiàn)不同時(shí)長(zhǎng)的封禁，這是一個(gè)常見(jiàn)的的自動(dòng)化響應(yīng)過(guò)程。

　　而人工響應(yīng)主要是指通過(guò)人工來(lái)針對(duì)一些不在自動(dòng)化安全知識(shí)庫(kù)（或者說(shuō)不存在對(duì)應(yīng)的Playbook）中的安全事件或者說(shuō)一些可疑線索進(jìn)行響應(yīng)處置。人工響應(yīng)也包括了分析工作（類(lèi)似于前面提到的威脅狩獵），因?yàn)檫@是一個(gè)基于不同安全場(chǎng)景下，分析各種問(wèn)題并做出決策的過(guò)程，而從我們看來(lái)，自動(dòng)化響應(yīng)前期需要人工響應(yīng)的驗(yàn)證，判斷某類(lèi)安全事件是否可以采用固化的自動(dòng)化分析響應(yīng)流程，同時(shí)也需要企業(yè)單位各個(gè)部門(mén)（比如由安全部門(mén)主導(dǎo)，業(yè)務(wù)相關(guān)部門(mén)，網(wǎng)絡(luò)相關(guān)部門(mén)參與）之間去進(jìn)行評(píng)審，對(duì)流程無(wú)異議后，便可形成自動(dòng)化響應(yīng)流程。

　　所以自動(dòng)化響應(yīng)和人工響應(yīng)之間的配合，以現(xiàn)實(shí)環(huán)境來(lái)看，很難達(dá)到對(duì)所有的安全事件都進(jìn)行自動(dòng)化響應(yīng)。而自動(dòng)化是由人工分析響應(yīng)衍生出的產(chǎn)物，人工響應(yīng)始終具有重要意義。具體的分配情況，在具備安全運(yùn)營(yíng)相關(guān)技術(shù)與流程制度的前提下，我們認(rèn)為80%的安全事件應(yīng)該交給自動(dòng)化響應(yīng)流量進(jìn)行處理，人工專(zhuān)注于20%的安全事件的深層關(guān)聯(lián)分析與響應(yīng)。

　　五、市場(chǎng)上的主流安全分析平臺(tái)產(chǎn)品都是如何實(shí)現(xiàn)流程編排和自動(dòng)化響應(yīng)（SOAR）的，其技術(shù)路線是什么？

　　施澤寰：國(guó)外SOAR市場(chǎng)相對(duì)國(guó)內(nèi)市場(chǎng)較為成熟，目前我們看到主要有兩種技術(shù)路線，一種為以Case Management為目的，以Splunk Phantom為代表，一種是融合了Chat ops的理念，也衍生出如作戰(zhàn)室的功能，以Demisto（被Palo Alto收購(gòu)，改名為Cortex XSOAR）為代表，但其最終要達(dá)到的目的都是相同的。即降低對(duì)安全事件的處置時(shí)間，提高響應(yīng)效率。

　　其中Case Management的方式來(lái)看，以Event（事件）和Case（某個(gè)事件或者某些事件形成的）作為驅(qū)動(dòng)，通過(guò)定義好的Playbook（劇本）來(lái)實(shí)現(xiàn)整個(gè)流程的自動(dòng)化響應(yīng)。這種技術(shù)路線實(shí)現(xiàn)層級(jí)和理念也非常明確，更接近一種決策思路，所以要實(shí)現(xiàn)SOAR的能力，也就是要具備可視化流程編排（通過(guò)拖拉拽的方式，快速定義劇本）、組件化（應(yīng)用管理）能力和任務(wù)管理能力。

　　從架構(gòu)而言，第一層級(jí)是劇本（Playbook），其中包含了流程的決策步驟（如過(guò)濾、判斷、格式化以及人工審核等基礎(chǔ)能力）和應(yīng)用組件（如某類(lèi)安全設(shè)備的某個(gè)接口，自定義的API接口）；第二個(gè)層級(jí)是應(yīng)用，即集合了某個(gè)產(chǎn)品的所有接口，可在Playbook中提供選擇調(diào)用；第三個(gè)層級(jí)是動(dòng)作（Action），即對(duì)應(yīng)著具體的某個(gè)接口，比如情報(bào)查詢接口、IP查詢接口；第四個(gè)為資產(chǎn)，比如說(shuō)企業(yè)中部署了10個(gè)防火墻，這就是10個(gè)資產(chǎn)，在編排Playbook的時(shí)候，需要定義和哪一個(gè)資產(chǎn)進(jìn)行聯(lián)動(dòng)；第五個(gè)層級(jí)為用戶，系統(tǒng)在對(duì)資產(chǎn)進(jìn)行聯(lián)動(dòng)的時(shí)候，需要安全設(shè)備上一個(gè)有相應(yīng)響應(yīng)權(quán)限的賬戶去進(jìn)行聯(lián)動(dòng)。

　　而在聯(lián)動(dòng)的過(guò)程中一般會(huì)有兩類(lèi)動(dòng)作，一個(gè)是“讀”的動(dòng)作，一個(gè)是“寫(xiě)”的動(dòng)作?！白x”的動(dòng)作就是通過(guò)接口從安全設(shè)備或其他第三方系統(tǒng)中獲取信息；“寫(xiě)”的動(dòng)作就是通過(guò)接口，往安全設(shè)備或其他第三方系統(tǒng)添加/更新/刪除新的策略，比如說(shuō)，把某個(gè)IP地址寫(xiě)到防火墻的黑名單中以此來(lái)實(shí)現(xiàn)對(duì)惡意IP的阻斷，通過(guò)用戶來(lái)實(shí)現(xiàn)權(quán)限控制。

　　第二種路線其實(shí)與第一種殊途同歸，融合了Chat ops的理念。在某個(gè)安全事件發(fā)生之后，在對(duì)其進(jìn)行響應(yīng)處置過(guò)程中，需要增強(qiáng)各個(gè)部門(mén)之間或不同人員之間的協(xié)作，并能較為智能地推薦合適的處置動(dòng)作。這種路線就是將這一邏輯和理念延伸到SOAR中來(lái)，其實(shí)就是結(jié)合攻防對(duì)抗歷史經(jīng)驗(yàn)，通過(guò)加強(qiáng)安全體系中各個(gè)產(chǎn)品和模塊之間的主動(dòng)調(diào)用和深度配合，來(lái)實(shí)現(xiàn)更智能的自動(dòng)化響應(yīng)。

　　六、您認(rèn)為未來(lái)安全響應(yīng)處置的發(fā)展趨勢(shì)是什么？會(huì)有哪些新的發(fā)展特點(diǎn)？

　　施澤寰：未來(lái)安全響應(yīng)處置從我們的研究與實(shí)踐情況來(lái)看，還是會(huì)朝著自動(dòng)化與智能化的方向發(fā)展，應(yīng)用場(chǎng)景（不僅僅只是一系列的分析判斷后，去封禁IP/鎖定賬戶）也會(huì)越來(lái)越豐富。而且隨著安全編排與自動(dòng)化響應(yīng)的發(fā)展會(huì)幫助安全人員從重復(fù)性的安全運(yùn)營(yíng)工作（比如威脅管理）中脫離出來(lái)，讓安全人員能把更多的精力投入到安全分析層面的工作中去，由此來(lái)發(fā)現(xiàn)一些潛在的或者威脅更大的安全風(fēng)險(xiǎn)，這種風(fēng)險(xiǎn)對(duì)企業(yè)造成的危害性往往會(huì)更大，所以我們也認(rèn)為，對(duì)威脅狩獵場(chǎng)景的探索也會(huì)進(jìn)一步深入。

　　同時(shí)，自動(dòng)化響應(yīng)也可以更加智能。舉例來(lái)說(shuō)，平臺(tái)在觸發(fā)告警之后，可以基于過(guò)往同類(lèi)型的案例進(jìn)行綜合評(píng)估，為用戶推薦一個(gè)合適的處置策略和解決方案。所以，在我們看來(lái)，自動(dòng)化和智能化是未來(lái)安全響應(yīng)處置的兩個(gè)發(fā)展特點(diǎn)。

　　安全牛評(píng)

　　為了應(yīng)對(duì)類(lèi)似于對(duì)抗性機(jī)器學(xué)習(xí)的高級(jí)復(fù)雜威脅，企業(yè)需要采用更高級(jí)的解決方案。日志易一直致力于研究數(shù)據(jù)及日志信息的智能化處理，通過(guò)自研的高性能搜索引擎和SPL語(yǔ)言滿足企業(yè)用戶的大量數(shù)據(jù)搜索和安全威脅建模基礎(chǔ)需求。使用大數(shù)據(jù)及人工智能的方法，對(duì)日志信息中隱藏的威脅進(jìn)行智能檢測(cè)與自動(dòng)化處置，實(shí)現(xiàn)更快速的安全威脅檢測(cè)和響應(yīng)，提升了企業(yè)安全運(yùn)維團(tuán)隊(duì)的工作效率，對(duì)企業(yè)的安全發(fā)展提供了一個(gè)高效的解決方案。