国内首款分布式事件关联分析引擎“Sabre”横空出世

2019年2月2日， 360企业安全集团重磅发布国内首款分布式事件关联分析引擎“Sabre”。Sabre引擎使用独有的事件处理语言（EPL）， 先进的图计算和流式计算技术，实现对多种数据源的聚合计算、序列分析、关联计算、分组/去重、时间窗口计算和表计算，从而，具备丰富的表达能力，快速的扩展能力和强大的流式计算能力。

“Sabre”能够对多源异构数据进行复杂关联分析，随着数据增长进行灵活的分布式扩展，帮助高级安全分析师从海量异构数据中挖掘精准的安全事件。从而，也大大降低安全建模门槛， 有效提升安全运营的效率。
“Sabre”有哪些优势？
相较于传统的事件关联分析引擎，“Sabre”具备以下优势：

多样的数据分析能力
支持接入数百种不同的日志类型，涵盖：网络流量日志、终端日志、安全设备日志、网络设备日志、业务日志等。

分布式横向扩展能力
具备分布式扩展能力，可扩展至数十台集群规模，数据处理性能可达10万EPS。

灵活的建模能力
传统安全规则配置界面比较单一，仅能分析有限的安全场景，“Sabre”支持上百种语义表达，运用交互式图形化配置方式，帮助用户灵活地创建各种安全场景。

丰富告警上下文能力
支持关联多维的上下文数据，如：资产数据、用户账号、邮箱地址、地理位置等，为客户的告警判定提供多维的上下文信息，提升安全运营效率。
“Sabre”如何应用？
像“Sabre“这么强大的关联分析引擎，主要应用于哪些场景呢？借助360 下一代安全运营中心（以下简称NGSOC），”Sabre”能够支持多种多样地威胁分析场景，例如：

”WannaCry”勒索蠕虫传播事件检测
众所周知，2017年4月永恒之蓝席卷全球，永恒之蓝利用Windows的MS17-010漏洞可以实现在目标系统中执行任意代码，同年5月WannaCry借助“永恒之蓝”漏洞在全球爆发。中了WannaCry勒索软件的主机会在全网进行自我复制和病毒传播，针对开放了445端口的Windows主机进行攻击，同时对系统中的文件进行加密。

借助“Sabre”多数据源事件关联分析能力，360 NGSOC能够发现内网的WannaCry传播事件并进行快速响应和处置。可同时关联网络流量日志和主机日志进行序列分析和时间窗口计算，以精准确认Wannacry勒索蠕虫事件，降低误报。

内部泄密事件分析
近几年来，用户数据泄露事件层出不穷，几乎所有的信息泄露事件都为内部员工所为，企业信息管理人员为解决内部泄密事件可谓绞尽脑汁。“Sabre”能够结合关键用户行为数据，从用户、业务、时间、地理位置等多维度进行分析，发现潜在的内部威胁，及时进行预警通报。

场景1：针对看似正常的用户行为，通过“Sabre”分析能够帮助安全审计人员发现内部的可疑操作行为。

场景2：结合场景1的分析结果，“Sabre”能够直接引用已有事件规则并关联后续发生的事件迅速发现内部泄密行为同时进行告警。

“Sabre”能给用户带来什么价值？
搭载Sabre引擎的360 NGSOC能够为用户带来以下价值：

Sabre运用交互式图形化配置方式，帮助用户快速灵活地创建各种安全模型，将安全建模时间缩短到小时级；
Sabre具有分布式横向扩展，可以轻松地应对海量异构数据，几十G流量数据以及上万台资产的日志都难不倒它，有效地支撑大型政企用户的安全建模需求；

同时，搭载Sabre引擎的360 NGSOC很快将与大家见面。作为安全运营“大脑”，360 NGSOC致力于为客户提供更多创新型的技术和服务，帮助不同行业的客户构建态势感知与安全运营平台，并产生价值，敬请期待！

来源  360企业安全