Elastic中国开发者大会2018 - 使用ES做威胁场景分析 - 袁帅， 绿盟科技

袁帅
绿盟科技 技术经理
演讲：基于 Elasticsearch 的网络攻击场景建模和威胁分析
主要介绍如何使用ES工具栈实现网络攻击场景的建模和威胁分析，分两部分分享：
1. 如何利用ES相关工具收集网络攻击场景建模所需要的相关数据？
packetbeat收集网络流量，filebeat、osquery以及logstash收集终端日志的方法，elasticsearch做数据索引，以及kibana能提供的攻击数据可视化功能。
2. 如何利用收集的数据做网络攻击场景建模和威胁分析。
1） 介绍当前SIEM（Security Information and Event Management 安全信息与事件管理）系统对于攻击场景建模的一般要求；
2） 结合实例介绍利用网络流量、终端数据、结合传统的网络防御设备做攻击场景建模的方案，以及如何利用攻击场景模型做网络攻击的发现。
 就职于绿盟科技，TRG技术团队。主要研究领域：安全大数据分析平台设计，安全大数据分析、网络攻击建模、UEBA等；参与绿盟科技多项安全大数据分析课题的研究与实施工作；获得或申请专利10余项。