腾讯安全湖：云原生PB级安全数据分析平台概要

一、 产品定位与核心亮点

腾讯安全湖是一款云原生、低成本、高性能、全栈国产化的安全大数据分析产品。其核心技术属性为基于自研数据底座引擎的湖仓一体架构，核心商业差异化卖点在于通过“列存储”与“无索引”技术实现极致的成本与性能优势，为企业提供一体化泛安全数据接入、存储、智能分析与可视化服务。

二、 产品应用场景

• 全流量数据存储与深度分析：面向需进行长周期威胁调查的客户。解决其网络流量数据检测能力扩展、180天以上全流量数据回溯、情报与漏洞检测等痛点。
• APT攻击识别与威胁回溯：面向需应对高级持续性威胁的客户。解决其难以发现长期潜伏的未知威胁、缺乏自动化攻击回溯流程的痛点。
• 0day漏洞及时响应与风险排查：面向需快速应对突发漏洞的客户。解决其无法快速回归历史数据发现漏洞利用痕迹、缺乏有效狩猎规则的痛点。
• 现有SOC架构优化升级：面向希望降低现有安全运营中心成本并提升效率的客户。解决其海量数据存储成本高、查询效率低、历史数据回溯能力不足的痛点。
• Splunk国产化替换：面向有信创要求的客户。解决其需全栈国产化替代、兼容现有SPL语法与仪表盘、并满足PB级数据智能分析的痛点。

三、 应用框架和功能介绍

功能框架

产品架构核心为 “高性能数据平台” 与 “一体化智能分析引擎” 。提供从数据采集、分析、检索到监控告警、可视化BI及安全应用开发的完整工作流。

硬核指标

• 数据规模：支持PB级安全数据智能分析。
• 数据留存：支持180天以上原始安全数据的威胁调查。
• 查询性能：支持PB级数据秒级检索。
• 压缩比率：日志压缩比达到16:1。

产品优势

1. 成本优势：
   • 硬件存储成本仅为Elasticsearch (ES) 的1/10（来源：产品方案）。
   • 计算/存储资源成本是ES的14.2%（来源：典型案例）。
   • 可实现80%存储成本下降（来源：产品优势）。
2. 性能优势：
   • 平均查询响应时间为ES的82%（来源：典型案例）。
   • 复杂查询（如聚合查询）响应时间为ES的1/5（来源：典型案例）。
3. 技术优势：
   • 全栈国产化，满足信创要求（来源：产品简介、应用场景）。
   • 采用自研数据底座引擎，具备“列存储”、“无索引”技术（来源：产品方案）。
   • 支持超16种解析方法/函数，分析更高效（来源：产品优势）。
   • 具备插件化应用开发能力，支持安全场景快速扩展（来源：产品简介）。
4. 功能优势：
   • 提供一体化泛安全数据接入、加工、存储、智能分析、检索、告警和可视化服务。
   • 支持180天以上攻击事件取证和溯源。
   • 兼容Splunk的SPL语法检索规则和Dashboard。

荣誉背书

（原文未提及具体技术荣誉和奖项）

四、 典型案例

案例：某大型互联网公司

1. 背景：客户业务涉及内容、电商和直播，用户量超百万，每日产生海量安全数据。面临安全分析效率与成本挑战。
2. 解决方案：构建云原生安全数据湖解决方案，利用腾讯安全湖提供数据采集汇聚能力，并基于云原生和存算分离技术实现弹性伸缩。
3. 成效：
   • 单日写入峰值超7.21TB。
   • 实现了PB级数据分析能力，支持未知威胁发现和快速威胁狩猎。
   • 通过与ELK/ES方案对比，在成本、压缩比和查询性能上取得显著优势（具体指标见“产品优势”部分）。