某大型零售连锁企业安全服务专案-精诚瑞宝计算机系统有限公司

项目背景

客户公司起源于1841年，已成为国际性的零售及制造业机构，业务遍布全球24个国家/地区。每星期超过 2800 万名顾客在全球 13个零售品牌所开设的实体店铺以及电子商店上购物。旗下经营超过12000家零售商店，种类包括保健及美容产品、高级香水及化妆品、食品、电子、高级洋酒，及机场零售业务。随着客户公司的不断发展和扩大，企业越来越依赖于数据处理来进行业务运营，对IT 系统的依赖性也随之增加。大规模、多元化的各类IT系统，且大多数面向互联网，受到黑客攻击的可能性也较大，企业因此对保障信息安全尤为重视，技术手段和管理措施的投入也持续加大。

需求分析

01

客户已部署了一套基于Splunk的日志分析平台，由于前期接入平台的系统规模较小，导致初期规划建设的日志分析平台规模很小，但随着客户业务板块的不断扩展，支持业务发展的IT系统也不断的壮大，早期规划的日志分析平台已无法满足现有业务的需求。由于集团总部使用Splunk ES平台作为安全运营平台，为了和集团保持一致以及出于满足业务扩展的的需求，中国区也准备建设Splunk ES平台作为安全运营平台。
02

根据需要接入平台的日志量规划三台Search Head提供搜索能力并由Deployer进行管理，保障搜索速度满足业务要求
03

两台Indexer负责日志存储并由Cluster Master 进行管理，保障日志存储满足180天要求
04

License Master负责许可授权管理， Monitoring Console负责平台健康检查，保障平台正常运行
05

Deployment Server负责转发器管理，另外在各个机房和云上均部署了Heavy Forwarder 负责日志收集及转发，保障整个日志搜集链条稳定传输

实施效果

在广州机房部署了Splunk ES服务器集群，在广州机房、佛山机房和云上都部署了HF进行日志的收集、过滤和转发，在AD、DHCP等关键日志源都安装了agent进行日志转发

完成14个安全相关的usecase开发和优化

每天对平台进行健康检查，发现平台异常及时处理，确保平台正常运行

发现告警及时进行分析和通报，通过白名单和告警抑制等方式协助客户快速降低告警数量，并实现告警事件的闭环处理

经验分享

以往安全运营方面客户缺乏专业的平台和安全人员负责，导致即使有安全风险也没能及时发现和处理，存在安全隐患。

现在通过平台+人的方式，平台发现安全风险，通过人工确认核实之后，通报相关人员进行事件处理，并跟进事件处理进度，输出事件报告达成闭环。

平台可以将各个系统的数据串联起来，运营人员不用登录多个系统逐个查看，直接在平台就可以搜索到想要查看的数据，及时排除安全风险的同时通过平台节省了投入的人力成本