腾讯安全湖：云原生全栈国产化安全大数据分析产品概要

一、产品定位与核心亮点

腾讯安全湖是一款云原生、低成本、高性能、自研、全栈国产化的安全大数据分析产品，核心定位为PB级安全数据智能分析平台。其商业与技术差异化卖点在于：通过“高性能数据平台”+“一体化智能分析引擎”解决数据存储与使用成本问题，基于自研数据底座引擎实现同等规模下硬件存储成本仅为ES的1/10，同时支持PB级数据秒级检索，具备180天以上原始安全数据的威胁调查和狩猎能力，并提供“插件化”应用开发能力，助力企业构建云原生湖仓一体安全分析平台。

二、产品应用场景

1. 全流量数据存储与深度分析

适用对象：需进行长周期流量审计、威胁排查的企业安全团队。

痛点：传统方案流量存储周期短，难以支撑长周期回溯与深度检测。

应用价值：集成网络流量数据，扩展流量检测能力，支持180天以上全流量数据分析、调查取证、威胁回溯和可视化；基于全流量数据开展情报检测、漏洞检测、失陷和入侵风险排查。

2. APT攻击识别与威胁回溯

适用对象：面临高级持续性威胁、需主动发现潜伏威胁的企业安全运营团队。

痛点：传统检测手段难以发现长期潜伏的未知威胁，攻击回溯流程依赖人工、效率低。

应用价值：基于APT攻击对应的IOC、黑客工具、攻击技战术（TTPs）进行攻击回溯并持续跟踪，结合威胁情报开展排查；通过APT攻击自动化回溯流程，发现长期潜伏的未知威胁。

3. 0day漏洞及时响应与风险排查

适用对象：需快速响应新发漏洞、排查历史利用痕迹的企业安全团队。

痛点：新漏洞披露后，无法通过历史数据快速排查影响范围，攻击痕迹发现滞后。

应用价值：根据新发现的0day漏洞信息回归历史数据，发现漏洞利用的历史情况并及时响应；通过内置或自定义的0day狩猎规则，快速寻找可疑异常或正在进行的攻击痕迹，开展调查取证。

4. 现有SOC架构优化升级

适用对象：现有SOC平台存储成本高、查询效率低、场景扩展受限的企业。

痛点：海量原始数据及长周期历史数据由传统SOC处理，存储成本高、服务器节点多、查询效率低、语法不灵活，无法支撑180天以上数据回溯，安全场景扩展困难。

应用价值：将海量原始数据及长周期历史数据迁移至安全湖处理，极致降低存储成本并减少服务器节点数，安全数据查询效率提升且支持更灵活的查询语法，支持180天以上历史数据回溯，安全场景可快速扩展。

5. Splunk国产化替换

适用对象：需满足全栈国产化要求、原有Splunk平台的PB级安全数据分析企业。

痛点：原有Splunk平台不满足国产化信创要求，迁移成本高、语法兼容性差。

应用价值：全技术栈满足国产化信创要求，兼容SPL语法检索规则和Dashboard，支持告警规则迁移、图表报表还原，满足PB级安全数据智能分析需求。

三、应用框架和功能介绍

1. 功能框架

产品基于“自研数据底座引擎”，流程为：丰富的安全数据源支持→数据采集→数据分析→数据检索，后续可延伸至监控&告警、分析&报表、智能安全运营、安全场景、可视化BI、安全应用开发等模块。底层依托“列存储”“无索引”“极致压缩率”技术，上层支持各类分析场景和插件式能力扩展。

2. 硬核指标

• 成本指标：同等规模数据量下硬件存储成本仅为ES的1/10；计算/存储资源成本是ES的14.2%；存储成本下降80%。
• 压缩能力：日志压缩比达到16:1，比ES提升8倍；数据压缩比达20倍以上。
• 查询性能：PB级数据实现秒级检索；平均查询响应时间为ES的82%，复杂聚合查询响应时间为ES的1/5；支持百亿级存量日志数据存储与查询。
• 数据周期：支持180天以上原始安全数据存储、回溯与分析。
• 解析能力：支持超16种解析方法/函数。
• 接入能力：单日写入峰值超7.21TB（某互联网客户实测）。

3. 产品优势

• 数据存储与成本：云原生架构，存算分离技术实现弹性伸缩；极致压缩比，节省80%存储成本，20倍以上数据压缩比实现资源、成本双降；同等规模硬件成本仅为ES的1/10。
• 分析效率：PB级海量数据秒级查询；平均查询响应时间为ES的82%，复杂聚合查询响应时间为ES的1/5；超16种解析方法/函数，分析更高效，助力快速决策。
• 威胁检测能力：支持180天以上攻击事件取证和溯源高效处理；内置腾讯情报、腾讯漏洞库、腾讯专家规则，可自动化回归历史数据，快速响应0day漏洞和APT攻击；支持未知威胁发现和快速威胁狩猎。
• 场景扩展：具备“插件化”应用开发能力，可灵活扩展安全场景；提供丰富的安全场景化APP，涵盖数据检索、监控告警、分析报表、可视化BI需求，提升安全运营智能化水平和分析效率。
• 国产化能力：全技术栈满足国产化信创要求，兼容SPL语法检索规则和Dashboard，支持告警规则迁移、图表报表还原，可替代Splunk。

4. 荣誉背书

原文未提及该产品获得的相关技术荣誉和奖项。

四、典型案例

案例1：某互联网公司（涉及内容、电商、直播业务，用户量超百万）

1. 背景：客户业务覆盖内容、电商、直播，用户量超百万，每日产生海量安全分析价值数据，需构建高效安全分析体系支撑风险预防与发现。
2. 解决方案：构建云原生安全数据湖解决方案，提供数据采集汇聚能力；基于腾讯云原生数据湖实现单日写入峰值超7.21TB，打造一体化安全分析平台，利用云原生和存算分离技术实现弹性伸缩与PB级数据分析，打通安全数据分析工作流。
3. 成效：实现PB级数据分析，支持未知威胁发现和快速威胁狩猎，为安全风险预防和发现提供充分辅助决策信息；基于现网PB级日志业务环境，相比传统基于ELK等组件的开源数据平台：
   • 计算/存储资源成本仅为ES的14.2%；
   • 日志压缩比达16:1，比ES提升8倍；
   • 平均查询响应时间为ES的82%，复杂聚合查询响应时间为ES的1/5。

案例2：安全大数据一体化管理最佳实践

1. 背景：企业需整合多来源安全、运维设备日志，面临接入解析复杂、存储成本高、检索性能不足、可视化能力弱的问题。
2. 解决方案：使用腾讯安全湖的快捷接入和解析能力，实现安全、运维设备日志的统一接入与解析，依托低成本存储与高性能检索能力开展分析。
3. 成效：实现安全大数据一体化管理，提供低成本存储、高性能检索，以及丰富多样的可视化分析能力。

案例3：长周期溯源发现潜藏威胁最佳实践

1. 背景：企业需应对0day漏洞、APT攻击等潜伏威胁，传统方案难以实现长周期历史数据回溯与自动化排查。
2. 解决方案：集成NDR网络流量数据，内置腾讯情报、腾讯漏洞库、腾讯专家规则，通过自动化任务回归历史数据。
3. 成效：可快速响应0day漏洞和APT攻击，实现长周期溯源，发现潜藏威胁。

案例4：极致的降本增效最佳实践

1. 背景：企业安全数据存储与分析成本高，大数据查询效率不足，制约安全运营效率。
2. 解决方案：依托腾讯安全湖的极致压缩比技术，优化存储与计算资源配置，提升查询性能。
3. 成效：节省80%存储成本；实现PB级数据秒级查询，提升大数据分析效率。

数据来源：腾讯安全官方产品文档