Sophos作为唯一一家在 2018年1月被Gartner在端点保护(endpoint protection)平台魔力象限和统一威胁管理(UTM)魔力象限中评定为领导者的安全厂商，依靠其令人满意、优秀且完整的业界内解决方案，占据了中端市场的大部分席位。

        作为Sophos的下一代防火墙产品，XG Firewall具有多重威胁检测以及防护功能，客户可以通过订阅开启所有下一代防火墙的功能，包括但不限于：应用程序控制、反垃圾邮件、入侵检测、APT防护等。但也正是因为如此，对于客户来说，相关的检测结果和报告相对比较分散而且缺乏关联性，因此就需要我们提供相关的安全运营服务来进行归一化整理以及关联性分析和展现。

        如前所述，虽然Sophos防火墙的检测防护功能种类众多，但是检测结果和报告相对比较分散也不容易产生关联性。

        同时，我们在设备的管理界面上能查询到的日志也是基本的日志展现方式，且由于设备性能有限，在需要查询时间跨度比较长的日志记录时可能会出现超时等问题。

        当然，我们在对Sophos日志进行处理之前还是需要先根据其功能类别进行分类，因此我们在日志中找到了相关功能模块的描述字段。

        根据本次实例中的这台设备所开启的功能模块，我们最后筛选出日志分类为下图所示：

这些分别对应了入侵检测、流量控制、反病毒、高级威胁防御、设备事件管理、反垃圾邮件以及沙箱检测功能。      

        在Sophos的可视化展现的过程中，我们重点关注各个功能模块日志的分类和归整。Sophos的自身日志在设备上进行转发时是统一转发的，在存储到我们的索引引擎中时也是放入了同一个索引中，因此我们还需要在可视化模块中对于我们识别出的不同功能分类的日志建立一个个search条件。这样处理之后，我们才能单独对一种功能类型的日志做后续的可视化处理。如图：

        在这个过程中我们也遇到了一点小问题：起初我们是按照官方文档给定的通用字段进行解析，在解析之后得到的日志字段虽然是齐全的，但是对于不同功能种类的日志的特定字段缺少了字段匹配，比如下面这样：

        我们发现有些功能模块的日志不仅会具有特有字段，而且连一些通用字段名称可能也不一样，这就造成了某些字段虽然能够被识别出来，但是无法所谓聚合条件来进行后期的可视化展现。

        因此云纷研发团队又展开了进一步的解析工作，对采集了一段时间的源日志进行细化解读，然后将所有字段进行格式化处理并匹配到给定的字段下，最后得到了完全解析后的日志，如下图：

        经过处理以后，所得到的日志格式就可以进行下一步的可视化处理了，如图所示：

        关于具体的可视化处理方法在这里就不赘述了，有兴趣的朋友可以关注我们的公众号【云纷科技】、查阅我们之前分享的安全运营实例。

        此前，我们已经在处理流程中区分了各个功能模块的日志，因此现在我们只需要在制作可视化图表时选择好对应的search即可。

        其次，将所有制作好的图表整合到相对应的dashboard中即可，防病毒模块部分的dashboard实例如下：

        接着，依次创建出与检测防护功能相对应的功能模块的dashboard：

        单独的功能模块报表设置完成后，再进行规整以及关联性的分析，最后得出整合后的dahboard界面：

        这一界面中可以进行关联查询。选取一个过滤条件进行钻取，可获取过滤后的可视化分析界面。如下图所示，我们选取了原先的dashboard中防病毒日志中排名第二的源地址进行查询，可以看到在防火墙上的流量趋势，而在反垃圾邮件的检测中却没有检测出相关结果。

        除此之外，如果需要进一步再去确认攻击的真实性并进行溯源的话，还需要接入其他端点设备的日志以及其他行为检测产品的日志来进行深入的关联分析。

        上面介绍的只是我们利用可视化以及关联查询对单一来源的设备日志做的最简单一种关联分析方法，在之后的系列文章中我们还将为大家分享多种类日志来源的场景化运营实例，希望大家持续关注我们哟~

        最后，我们还可以利用可视化模块整合呈现的图表输出成为阶段性的分析报告，如下图所示：

        目前，Sophos产品线已经形成了比较完整的生态圈，或者说是集成式安全平台，这也是现在各大安全厂商所要建立属于自身安全产品体系的理念。

        对云纷而言，我们潜心研究客户所挑选的优秀安全产品，通过数据建模、场景规则建立，对所有安全产品的结果进行归一化处理以及关联分析，将简单、易读、有效的安全分析结果呈现给客户，并以此作为相关安全事件的决策参考，从而真正实现对安全事件的有效管理以及对当前安全管理体系的进一步完善。