原始数据
data/raw_msg从其他环境(IDC环境、云环境、混合环境等)、第三方设备数据源采集的原始数据,包括日志和流量。流量通常仅支持御界的流量通信日志,日志通常包括:第三方安全设备告警日志、御界告警日志、系统日志(linux/Win)、应用日志等。
日志
event/log经过SOC归一化引擎,将多源异构数据进行采集、解析、归一化和补充上下文信息后的泛化数据,方便用户进行统一的检测与分析。
告警
alarm经过SOC威胁检测模块(关联分析、UEBA)对日志进行检测分析,日志命中规则或策略后产生的结果,该结果待用户进行闭环处置。
事件/安全事件
incident经过SOC的自动化调查引擎,将相关联的告警数据根据时间线、资产和ATT&CK技战术串联起来,生成一个待响应处置的安全事件,并给出严重级别、事件描述和处置建议。目的是将需要人工介入和关注的严重事件收敛至合理的数量级。
TI
TI(Threat intelligence)是威胁情报的简称,是基于背景、机制、指标、影响和可采取行动等证据、知识或建议,涉及对资产的现有或新出现的威胁或危害,可用于为有关主体应对措施的决定,提供这种威胁或危险的信息。
态势感知
态势感知(Situation Awareness)是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地。