在考核大數(shù)據(jù)安全分析平臺時，要確保對以下五個要素進行評估，這對實現(xiàn)大數(shù)據(jù)分析的效果非常關鍵。這對于快速收集隨時產生的海量數(shù)據(jù)、快速進行數(shù)據(jù)分析，確保安全人員高效響應非常重要。大數(shù)據(jù)安全分析平臺評估五要素.中琛魔方大數(shù)據(jù)表示大數(shù)據(jù)分析平臺利用了大數(shù)據(jù)平臺的可擴展性，以及安全分析與SIEM等工具的安全分析能力。因此，用戶在部署和采購時需要認清這兩者的特征，以及這里所介紹的5個要素。簡單地給大數(shù)據(jù)平臺命名為“大數(shù)據(jù)安全分析平臺”，或者宣稱自己的SIEM(SOC)平臺能夠應付海量安全大數(shù)據(jù)，都不會打造成真正的大數(shù)據(jù)安全分析平臺。

要素1:統(tǒng)一的數(shù)據(jù)管理平臺

統(tǒng)一的數(shù)據(jù)管理平臺是大數(shù)據(jù)分析系統(tǒng)的基礎。數(shù)據(jù)管理平臺存儲和查詢企業(yè)數(shù)據(jù)。這似乎是一個廣為所知，并且已經得到解決的問題，不會成為區(qū)分不同企業(yè)產品的特色，但實際情況卻是，這仍是個問題。處理海量數(shù)據(jù)通常需要分布式數(shù)據(jù)庫，因為關系型數(shù)據(jù)庫不具備NoSQL數(shù)據(jù)庫的那種高效處理能力。但NoSQL數(shù)據(jù)庫的可擴展性有自己的缺陷。因此，大數(shù)據(jù)安全分析產品的數(shù)據(jù)管理平臺需要平衡在成本與可擴展性進行平衡。數(shù)據(jù)庫需要能近乎實時去寫入新數(shù)據(jù)，同時能進行快速查詢，以支持對安全數(shù)據(jù)的實時分析。統(tǒng)一數(shù)據(jù)管理平臺需要考慮的另一個重要方面是數(shù)據(jù)整合問題。

要素2:支持多種數(shù)據(jù)類型

正如上文所提到的，人們一般用三個“V”(大量、快速、多樣)來描述大數(shù)據(jù)。安全事件的數(shù)據(jù)多樣性給數(shù)據(jù)的整合帶來不少問題。大數(shù)據(jù)分析平臺利用了大數(shù)據(jù)平臺的可擴展性，以及安全分析與SIEM工具的分析功能。安全事件數(shù)據(jù)收集會有不同的顆粒度。比如網絡包是一般層級較低、細粒度的數(shù)據(jù)，而修改服務器管理員密碼的日志則會是粗顆粒的數(shù)據(jù)。盡管存在不同，這些數(shù)據(jù)可能有關聯(lián)的。網絡包也可以捕獲有關攻擊者潛入目標數(shù)據(jù)庫的數(shù)據(jù)。

安全事件數(shù)據(jù)的語義因種類而不同。網絡包的信息有助于分析人員了解終端見傳輸?shù)臄?shù)據(jù)，而漏洞掃碼的日志則會反映服務器或其他設備在特點時期的狀況。大數(shù)據(jù)分析平臺需要足夠掌握不同安全類型的語義信息，以便進行整合和關聯(lián)分析。

要素3:合規(guī)報告

合規(guī)報告不再是可有可無的要求。很多用于合規(guī)報告目的的數(shù)據(jù)要素都與安全最佳實踐有關。即使是那些不需要合規(guī)報告的企業(yè)，這些報告仍可以用于內部監(jiān)督。在需要合規(guī)報告的企業(yè)，需要審核大數(shù)據(jù)報告平臺是否包含了合規(guī)報告功能，以確保貴機構的需要得到滿足。

要素4:可擴展數(shù)據(jù)提取

服務器、終端、網絡與其他基礎設施的狀態(tài)都在不斷變化。很多狀態(tài)變化日志都是有用的信息，應該傳送到大數(shù)據(jù)安全分析平臺。假設網絡帶寬充裕，最大的風險是安全分析平臺的數(shù)據(jù)提取組件無法支撐不斷涌入的安全數(shù)據(jù)。這種情況下，數(shù)據(jù)會丟失，從而損害部署大數(shù)據(jù)安全分析平臺的目的。

維持消息隊列中的查詢數(shù)據(jù)高寫入量，系統(tǒng)可以支持不斷增加的數(shù)據(jù)提取。同時，一些數(shù)據(jù)庫使用追加寫入的方式支持海量寫入。數(shù)據(jù)被追加到提交日志而不是隨意寫入到磁盤塊。這樣可以減少隨意寫入磁盤時的延遲。這種數(shù)據(jù)管理系統(tǒng)維持一個隊列可以作為寫入時的數(shù)據(jù)存儲緩沖。如果出現(xiàn)信息劇增或硬件故障，導致寫入操作，數(shù)據(jù)可以堆積在隊列中，直至數(shù)據(jù)庫消除積壓的寫入數(shù)據(jù)。

要素5:安全分析工具

Hadoop和Spark等大數(shù)據(jù)平臺都是通用目的的工具。它們可以幫助開發(fā)安全工具，但它們本身并不是安全分析工具。安全攻擊可以進行擴展以滿足企業(yè)基礎設施產生的數(shù)據(jù)規(guī)模。因此，Hadoop和Spark等工具滿足這一標準。但安全分析工具應該負責解釋不同數(shù)據(jù)類型的關系，比如用戶、服務器和網絡。

分析人員應該能從安全的角度抽取和查詢安全事件數(shù)據(jù)。例如，分析人員應該能夠查詢用戶、服務器和應用的關系。這種查詢需要更多類似曲線圖的分析工具，而不是在關系型數(shù)據(jù)庫進行的傳統(tǒng)行列查詢。