一、技术架构

1.覆盖企业安全数据

万象（COSMOS）基于数据驱动安全的理念，万象（COSMOS）能够融合多源异构数据，建立更贴合业务需求的安全数据中心。平台支持接入4大维度企业网络安全数据：安全类数据、基础IT类数据、全流量数据、系统配置和用户管理数据，共8大类90小类：WAF、IPS/IDS、漏扫、DDoS、APT、应用系统等。同时，万象（COSMOS）数据中心支持多种存储数据结构的维护管理、扩展编辑，可持续扩展接入数据的管理结构。

2.数据接入和泛化

万象（COSMOS）兼容主动、被动的主流数据获取方式，包括：Syslog、文件FTP/SFTP、数据库、全流量镜像等，支持接入监控并管理设备，及时发现设备数据是否接入、是否成功泛化；内置50+主流安全系统自动化解析能力，可直接接入标准化日志，同时支持零基础数据泛化，可快速接入JSON、XML、键值对，并提供正则模式。

3.多源风险场景智能分析

万象（COSMOS）内置（Flink）流式分析、Spark（离线周期分析和离线手动分析）三大分析引擎，配合全文检索/智能检索帮助用户在理解数据的基础上快速获取风险分析能力，高效应对不断迭代的风险问题，输出高可信告警。

4.多维度可视化呈现

万象（COSMOS）企业综合安全多维度呈现，安全日志、自定义仪表盘、告警中心、数据管理中心、资产中心、SOAR自动化编排、风险分析场景等可视化展现。

二、功能架构

万象（COSMOS）共有5层功能架构，包括：探针采集层、数据中心层、风险分析层、应中心层以及威胁展示层，提供安全数据细分管理、安全风险场景分析、安全自动化编排、风险告警/可视化态势展示以及威胁情报分析等能力。

1.采集探针

万象（COSMOS）配套全系列探针，能够支持多种自主安全能力及数据，主要包括：全流量风险事件数据、资产发现及脆弱性事件数据、网站风险事件数据等。

2.数据中心

万象（COSMOS）汇聚多源异构的安全类数据（安全设备日志、安全合规日志、操作日志、安全运行日志）、基础IT类数据（用户数据、资产数据）、威胁情报数据、流量数据等的安全数据中心。同时通过数据管理/数据ETL模块完成标注化数据输出。

3.风险分析

万象（COSMOS）内置实时流式分析、离线周期分析和离线手动分析三大分析引擎，同时针对多源数据提供交互式功能，可以灵活配置统计、筛选、关联、基线等分析策略，学习成本更低，并支持通过SQL补充多种复杂分析要求，可循环引用分析结果数据，输出态势风险告警。

4.应用中心

万象（COSMOS）应用中心包含告警中心、安全监测中心、资产中心、威胁情报中心、SOAR自动化编排中心、报告中心，通过应用中心贯穿企业安全运营体系建设，逐步建立数据分析、风险发现、风险处置、处置反馈/复查的安全风险闭环流程，串联实际安全工作，形成企业安全运营管理机制。

5.威胁展示

万象（COSMOS）支持丰富、精美的可视化态势呈现，通过万象平台企业可获得网络安全综合态势、资产风险、网络安全监管、网站安全、风险事件监测、攻击阶段/攻击链等多个大屏、风险分析场景。同时，支持分析场景模型可扩展，用户真正可以根据需求定制化构建出风险场景模型，通过数据筛选、数据分析、数据统计等系列分析过程，将数据呈现成数据分析者设计的展现形式并输出自定义仪表盘画布，灵活扩展分析可视化场景。