即使是不成熟的尝试,也胜于胎死腹中的策略。

Elastic中国开发者大会2018 - 使用ES做威胁场景分析 - 袁帅, 绿盟科技

2018-11-19 by 袁帅

袁帅
绿盟科技 技术经理
演讲:基于 Elasticsearch 的网络攻击场景建模和威胁分析
主要介绍如何使用ES工具栈实现网络攻击场景的建模和威胁分析,分两部分分享:
1. 如何利用ES相关工具收集网络攻击场景建模所需要的相关数据?
packetbeat收集网络流量,filebeat、osquery以及logstash收集终端日志的方法,elasticsearch做数据索引,以及kibana能提供的攻击数据可视化功能。
2. 如何利用收集的数据做网络攻击场景建模和威胁分析。
1) 介绍当前SIEM(Security Information and Event Management 安全信息与事件管理)系统对于攻击场景建模的一般要求;
2) 结合实例介绍利用网络流量、终端数据、结合传统的网络防御设备做攻击场景建模的方案,以及如何利用攻击场景模型做网络攻击的发现。
 就职于绿盟科技,TRG技术团队。主要研究领域:安全大数据分析平台设计,安全大数据分析、网络攻击建模、UEBA等;参与绿盟科技多项安全大数据分析课题的研究与实施工作;获得或申请专利10余项。