統壹的數據管理平臺、支持多種數據類型、可擴展數據提取、安全分析工具、合規報告是分布式是大數據管理平臺所必須考慮的要素。
壹、統壹的數據管理平臺:
1、統壹的數據管理平臺是大數據分析系統的基礎。數據管理平臺存儲和查詢企業數據。這似乎是壹個廣為所知,並且已經得到解決的問題,不會成為區分不同企業產品的特色,但實際情況卻是,這仍是個問題。
2、處理海量數據通常需要分布式數據庫,因為關系型數據庫不具備NoSQL數據庫的那種高效處理能力,但NoSQL數據庫的可擴展性有自己的缺陷。數據庫需要能近乎實時去寫入新數據,統壹數據管理平臺需要考慮的另壹個重要方面是數據整合問題。
二、支持多種數據類型:
1、大數據分析平臺利用了大數據平臺的可擴展性,以及安全分析與SIEM工具的分析功能。安全事件數據收集會有不同的顆粒度。比如網絡包是壹般層級較低、細粒度的數據,而修改服務器管理員密碼的日誌則會是粗顆粒的數據。
2、安全事件數據的語義因種類而不同。網絡包的信息有助於分析人員了解終端間傳輸的數據,而漏洞掃碼的日誌則會反映服務器或其他設備在特點時期的狀況。大數據分析平臺需要足夠掌握不同安全類型的語義信息,以便進行整合和關聯分析。
三、可擴展數據提取:
服務器、終端、網絡與其他基礎設施的狀態都在不斷變化。很多狀態變化日誌都是有用的信息,應該傳送到大數據安全分析平臺。假設網絡帶寬充裕,最大的風險是安全分析平臺的數據提取組件無法支撐不斷湧入的安全數據。
四、安全分析工具:
Hadoop和Spark等大數據平臺都是通用目的的工具。它們可以幫助開發安全工具,但它們本身並不是安全分析工具。安全攻擊可以進行擴展以滿足企業基礎設施產生的數據規模。因此,Hadoop和Spark等工具滿足這壹標準。
五、合規報告:
合規報告不再是可有可無的要求。很多用於合規報告目的的數據要素都與安全最佳實踐有關。即使是那些不需要合規報告的企業,這些報告仍可以用於內部監督。在需要合規報告的企業,需要審核大數據報告平臺是否包含了合規報告功能,以確保貴機構的需要得到滿足。