В сфере информационной безопасности широко применяется событийно-ориентированный подход. В частности, системы класса SOAR (Security Orchestration, Automation and Response) а также развивающийся класс решений конвергентной безопасности (Convergent Security Information Management, CSIM) построены вокруг модели управления потоком событий, получаемых из различных источников. В настоящей статье предложена новая архитектура — EventFlow, в основу которой положены технология Event Sourcing и архитектура потока данных (Dataflow). Использование событийной семантики при реализации подхода Event Sourcing позволяет унифицировано описывать как потоки событий, так и структуру их хранения, что также увеличивает гибкость платформы и обеспечивает возможность успешного применения инструментов машинного обучения. Приводится обоснование и детали реализации этой архитектуры, ее связь с идеологией фабрик данных (Data fabric), а также делаются выводы о ее применимости для целей управления потоком событий от множества (до сотен тысяч) разрозненных источников: корпоративных хранилищ данных, логов, данных датчиков и телеметрии.
< ... >
Article proposes a new architecture — EventFlow, which is based on the Event Sourcing technology and the dataflow architecture. The use of event semantics in the implementation of the Event Sourcing approach allows for a unified description of both event flows and the structure of their storage, which also increases the flexibility of the platform and provides the possibility of successful application of machine learning tools. The article provides the rationale and details of the implementation of such an architecture, its connection with the ideology of Data Fabric, and also draws conclusions about the applicability for the purposes of managing the flow of events from many of disparate sources.
Keywords:
converged security, dataflow, event sourcing, data fabric, functional architecture, machine learning, eventflow
Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»
