Cybertron 平台支持 CSL 啦

安全分析
收藏
1 529
Sunny912
ct 未认证 2020-11-24 19:56:17
付费话题:0 积分

1. 什么是 CSL?

    CSL 是 Cybertron Search Language 的缩写,中文名称叫:赛伯坦查询语言。

    CSL 是一种 DSL(Domain-specific Language),适用于赛伯坦安全管理平台系列产品,只要有事件查询、告警查询功能的产品,均可以使用。

2. 为什么需要一种新的搜索语言?

    我们知道,赛伯坦安全管理平台凭借傻瓜式的 UI 操作界面,在各行各业的大量用户处广受好评。我们设计了很多小的组件:

  • - 字段过滤

  • - 高级过滤

  • - 过滤器引用

  • - 预置的时间条件

  • - 字段值统计

  • - 字段自动补全

  • - 事件统计

  • - 模式调查

  • - 透视调查

  • - 关系调查,等等

    


    凭借我们精心的设计与预置的小组件,只要稍微有一点安全运维知识的用户,就可以很快上手,这可以满足 90% 以上的用户需求,这些用户需要做的,只是用鼠标点击几下,如果愿意,甚至可以不需要任何键盘操作就可以完成。但随着我们的用户越来越多,用户所处的行业越来越多,用户对系统越来越熟悉,对操作速度的要求越来越高,我们就很有必要更进一步,满足这些用户的需求,于是,CSL 应运而生。

3. CSL 有什么特色

  1. - 跟以前的所有 UI 操作,无缝结合

        以前建的过滤器,不仅仍然能用,还可以跟 CSL 一起使用。


  1. - 以前 UI 能做的大部分功能,CSL 也可以胜任

        虽然说 CSL 是 UI 操作的有效补充,是锦上添花的功能,但对于绝大部分搜索场景,你只需要 CSL 就可以实现。

        逻辑操作符:非与或(NOT | AND | OR)?支持!

        运算操作符:= | != | > | < | >= | <= | IN | Range | WILDCARD | CONTAINS | STARTWITH | FULLTEXT | REGEX | IS EMPTY ? 统统支持!

  2. - 自动过滤与补全

        记不清字段属性?你只需要知道其中一个字母,就可以自动过滤并提示!

        只记得中文别名?没关系,只需要输入一个中文汉字,就可以自动过滤并提示!

        字典表的列表太长记不住,同样可以用自动过滤与补全!


  1. - 报错提示

        字段名输入错误?前台界面就可以提示!


  1. - 除了支持事件查询,告警查询同样可以用

  2. - 学习成本非常低

        大部分用户只需要简单的看一下操作说明即可以使用,如果你会写 SQL,你甚至都可以直接上手使用。

4. CSL 没有做什么

4.1 统计

    我们认为,目前来看,无论再强大的统计操作符,都很难在易用性、准确性、容错性上很好的平衡,所以我们目前不准备支持统计操作符。

    此外,所有统计操作符,都是基于过滤条件的,而过滤条件,可以通过我们的 CSL 或以前的 UI 小组件来实现,在此基础上,几乎所有的统计需求,都可以通过点击几下鼠标解决,在大多数情况下,反而比通过 DSL 来操作更快,更便捷。

4.2 管道操作

    基于跟上面我们不支持统计一样类似的理由,我们目前同样不准备支持管道操作。

    试想一下,在多个通过管道符连起来的操作,在前面的错误的 DSL ,会导致后续所有的操作,都跟用户的预计结果偏离。而我们提供的是分步操作,多级钻取,这样,用户可以在多步操作时,尽可能早的发现问题,解决问题。

    此外,我们知道,有一些友商,所有的操作都是基于 DSL 的,比如事件查询,告警,等等,再比如关联分析,有的友商实际上是基于事件查询的批操作。而我们不一样,我们的关联分析包括实时匹配与历史回溯分析,实时匹配的时延是以秒来计算的,DSL 对这些场景,并不是最合适的解决方案。

我们认为,目前通过以下几个功能,可以满足大部分用户的需求:

  • - CSL

  • - UI 小组件

  • - 多级钻取

  • - 事件统计

  • - 行为分析

  • - 关联分析


回帖
  • ct
    2020-11-30 19:40:47

    好象很多产品的 DSL,除了搜索功能以外,还有一个重要的作用,就是进行关联分析, 日志易 SPL,Splunk SPL , ELastic EQL 

    0 回复