万象-销售一纸禅(220222):十分钟搞懂万象怎么卖
哪些客户需要万象
1.1.目标客户画像
- 有一定规模安全设备与运维人员;
- 在等保深化建设、应对HW活动等因素促进下,处于从初步安全建设向体系化安全建设的跃迁阶段的客户;
- 包括不限于金融、政府、运营商等各种行业(掐头去尾)。
客户痛点-为什么需要万象
新增客户:
- 安全数据分散在防火墙、WAF、蜜罐、主机安全等设备中,缺少统一的可视化入口,存在“数据孤岛”问题,难以概览全局安全信息,无法深度挖掘威胁信息;
- 海量重复告警严重影响研判效率,想要按需进行同类告警数据的聚合,明确活跃攻击者和受害资产,协助进行安全分析研判;
- 发现攻击者后,频繁、重复的封禁动作占据安全人员大量精力时间,体系中安全设备各自为战,防守效率低,容易形成值守空窗,无法实现7*24小时的高危监测和处置,急需通过自动化方式提升在通知、监控等流程方面的效率。
替换/增补客户:
- 流量型态感用户——关联分析、告警降噪能力不足——可进行替换升级;
- 日志(非安全)管理用户——缺少安全日志分析、流程自动化——可进行补充建设。
如何介绍万象-万象是什么
万象(COSMOS)取“包罗万象”之意,是长亭科技自主研发的大数据安全运营平台,采用业内先进大数据架构,可从多类型探针以及第三方设备中采集多源数据,呈现全网风险状况。平台依托长亭多年攻防经验,内置大数据关联分析与SOAR(安全编排、自动化与响应)能力,帮助政企提升安全分析和处置效率,为用户构建实战有效的安全运营体系。
万象(COSMOS)主要功能架构图
核心功能-万象能做什么
- 多元数据采集: 支持Syslog、FTP/SFTP、JDBC、Kafka等若干数据采集方式,内置解析规则覆盖20+厂商、80+设备【如WAF(绿盟等)、UTM/NGFW(山石、深信服等)、IPS(启明等)、蜜罐(天融信等)、全流量(天眼等)、威胁情报(微步等)】。
- 数据接入泛化: 平台提供入门级泛化窗口,15分钟即可泛化一条Syslog日志,内置json、sml、键值对、正则等多种解析方式。
- 数据聚合降噪: 数据和规则白盒可视,3大类关联分析规则,从百万级、十万级告警降低到每日不到500条,突出攻防关键信息,提高告警质量,提升研判分析效率。
- SOAR自动化处置: 成熟剧本5+、定制剧本10+,成熟的IP自动化封禁剧本解决人工效率低及值守空窗问题,单项目可联动设备40+。
- 多产品联动能力: 联动洞鉴(X-Ray),实现从发现、监测、管理的资产全生命周期体系,支持影子资产及资产漏洞发现;联动雷池(SafeLine)等防护设备,在边界防护中实现攻击者的精准封禁。
竞品优势
先进成熟的大数据架构——后发优势
1.研发初期即确定大数据路线(某些友商基于市场需求,后期增加大数据组件,难以发挥效用);
2.结合实战经验搭建大数据底座(组件成熟且体系完整)性能上限高,单机支持5W EPS处理,支持集群部署、横向扩展;
3.兼具实时计算分析(Flink)与离线计算分析(Spark)能力,根据数据信息灵活设计规则,满足多场景分析需求。
透明可视的数据管理分析——切实解决问题
1.基于开放理念不设壁垒,快速对接安全设备(无需补丁包,15分钟即可泛化一条Syslog);
2.内置关联分析,实现告警的聚合降噪(某客户3万告警聚合为400多条);
3.支持图形化或SQL语句编写/修改关联分析规则,可根据业务情况快速调整(不依赖研发)。
实战有效的SOAR剧本——自动化处置
- 接入主流厂商安全设备,剧本设定依托长亭多年沉淀的实战攻防经验(不盲目追求剧本数量);
- 沉淀多个剧本,流程快速落地,其中IP自动化封禁、威胁情报联动等剧本受到好评,21年HW 7+家用户落地,平均用户累计自动化封禁3万+ IP,单用户单日最高封禁9千+ IP。
竞争策略-攻击与防守话术
| 应对场景 | 对方不足 | 我方特色 |
|---|---|---|
| 某信服SIP、奇某信天眼、某恒APT等流量型态感 | 1.告警多、误报高,安全人员难以处理海量数据;2.NTA类产品的第三方日志接入能力薄弱甚至缺失,无法全网分析; | 万象通过多源数据采集+大数据关联分析实现告警的聚合降噪,提高告警质量,节省时间,提高分析效率; |
| 奇某信NGSOC、某恒AILPHA等大数据分析平台 | 1.大数据组件主要Hive做存储、ES做检索展示,设计初未考虑Spark和Flink的成熟运用,性能和分析受限;2.对接第三方数据、做关联分析规则时以内置标准化规则为主,无法白盒呈现;适配网络环境、发挥安全能力和适应业务变化时成本高;3.新增接入设备授权、分析规则定制时成本更高; | 万象采用成熟先进的大数据架构,实现“开放透明”的数据存储、分析、展示;一次授权减少网络内设备更新迭代的对接成本; |
| Splunk、QRadar等国外平台 | 1.价格昂贵,后续数据接入模块收费贵;2.界面不符合国内使用习惯,使用门槛高;3.缺少本地化服务团队,难以及时响应需求;4.用户或受国产化政策影响,不倾向国外品牌; | 万象为自主研发的安全管理与分析平台,顺应国产化趋势,基于多年实战经验不断优化使用体验符合国内需求,并配有业内领先的交付与安服团队;不需要直接替换,可以互补/逐渐替换方式; |
| SOAR厂商产品 | 1.大厂很少开放SOAR产品接口,为了项目一般只集成自家产品;2.多数未设计为“先分析再处置”的闭环的统一平台,低质量告警触发SOAR或造成事故; | 万象的SOAR处置依据自身分析产生的高质量、高可信的告警,能够避免海量低价值告警带来的恶劣后果; |
| 应对场景 | 防守话术 | 防守话术 |
|---|---|---|
| 质疑万象产品成熟度 | 当前多厂商的安管平台采用“美图秀秀”式的黑盒分析模式,拥有复杂的功能、精美的大屏,但是对于使用者来说看不清数据分析规则,更难以做调整、优化,导致安全人员用不起,误报漏报情况频发。 | 与之相比,我们想打造的是“Photoshop”式的专业工具平台,因此万象的数据分析处理过程开放透明,安全人员可根据业务、场景情况进行关联分析规则的调整。 |
怎么卖万象
6.1.万象的使用场景
1.安全大脑(SOC)
场景描述:拥有较为完善的安全体系,计划建造统一可视可控的安全运营管理中心(SOC),寻求能够接入企业安全数据进行分析展示,联动主要安全设备构建自动化响应流程的平台产品。
方案:万象,对接第三方安全日志,可打包探针/雷池/谛听/牧云/洞鉴......
2.安全合规
场景描述:有强监管压力,需要满足网络安全法、关基条例、等保2.0等安全法规、政策、标准中对于安管平台的要求,完善合规安全体系,建设安全管理中心。
方案:万象+TA全流量检测探针,可选雷池/谛听/牧云/洞鉴......
3.攻防演练
场景描述:参加大型实战演练互动,需要平台对接“网-端”检测体系,呈现全网资产安全态势,降低日志噪声、联动情报告警,形成快速研判工作台,提升告警关联分析关联分析、响应处置效率,沉淀战时经验。
方案:万象+安全服务,可选探针/雷池/谛听/牧云/洞鉴......
4.设备联动(SOAR)
场景描述:拥有一定规模的安全设备和人员,希望通过SOAR平台以自动封禁、工单联动等剧本,建立/优化安全运营流程,提升安全事件响应与处置效率。
方案:万象,联动边界防护设备,可选雷池/谛听/牧云/洞鉴......
6.2.万象的销售方式
| 平台 | 部署方式 | 产品组合 | 场景 | 报价方式 |
|---|---|---|---|---|
| 万象(COSMOS)安全分析与管理平台【CM-H10-5000】【软件版】 | 硬件单机或集群部署。软件单机或集群部署。 | +全流量探针(TA) | 政策合规 | 全流量CRM下单TA产品 |
| +资产检测探针(洞鉴) | 资产/漏洞管理 | 万象CRM下单资产探针模块。洞鉴CRM下单洞鉴产品(高级版/三合一高级版license) | ||
| +网站监测探针 | 网站监测 | 万象CRM下单网站探针产品 | ||
| 定制服务 | 接口等定制需提前联系产品经理确认及备货。 | |||
| 售后服务 | 正常送1年标准维保;如需落地SOAR剧本,定制关联分析规则、大屏,需联系产品经理沟通人天报价。 | |||
| 安全服务 | 重保值守等安全服务,联系安服项目经理。 |
万象标杆案例
| 客户名称 | 行业 | 主要特点 |
|---|---|---|
| 无锡农商行 | 银行 | 合作研发建立国产化安全大脑,补齐日志易缺失的分析能力,构建安全大脑 |
| 招商证券 | 证券 | HW驱动,补齐流量检测能力并聚合降噪,提升应急响应与处置效率 |
| 金保信社保卡科技 | 企业 | 关基单位建立安全大脑;满足多个数据中心统一安全运营要求 |
| 中国工业互联网研究院 | 政府 | 流量检测需求,补齐内网安全威胁检测能力 |
| 杭州电视台 | 政府 | 等保项目,满足“安全管理中心”要求,实现全网安全日志及关键业务风险可视化 |
| 中信证券 | 金融 | HW驱动,主防项目租用,作为快速研判工具 |
| 郑州商品交易所 | 金融 | HW驱动,主防项目租用,作为快速研判工具 |
| 中国期货市场监控中心 | 金融 | HW驱动,主防项目租用,作为快速研判工具及SOAR自动封禁 |
