场景1:
安全威胁回溯
创新点：
微切片：基于微切片信息估算每一个查询的执行代价（CBO），从而选出最优的查询计划；当计算单元执行查询时，也会基于微切片信息和帧摘要进行分支优化，减少数据读取，提前结束不必要的扫描。
RBO/CBO（基于规则的优化/基于代价的优化）：本地计划和分布式计划的生成都会通过一系列规则进行优化；其中分布式查询计划的生成会结合微切片信息进行基于代价的优化。
集群状态监控：通过监控集群的CPU/内存/磁盘/网络等状态信息，自动选择出状态最优的计算单元 。
场景2:
仓湖一体化
创新点：
无索引：避免索引带来的成本开销，安全数据湖的摘要大小是压缩后数据的十分之一。
列存储：极致的压缩率，可达10~20倍压缩比，对于不同数据类型采用不同压缩算法进一步提升压缩性能
支持对象存储COS：支持容灾备份+冷热存储COS，对SSD磁盘的消耗降低80%
场景3:
内部威胁检测
创新点：
依托安全数据湖为数据分析底座，围绕办公场景下的3类用户行为，对“用户”而非“账号”进行行为审计，对用户的登陆、下载、访问进行全面的内部威胁检测，核心场景如下：
1、活跃地点偏离群组
2、新设备登陆
3、首次地点登陆
4、异常的附件下载
5、登陆时间偏离群组
6、僵尸账号活跃
7、访问非常用应用
8、慢速爬取通讯录
9、异常鉴权
10、异常IP登陆
11、账号共享
场景4:
PB级数据存储与高效分析
创新点：
1、多种接入方式+内置标准数据格式
支持syslog、kafka、TCP/UDP等多种接入方式，内置多种标准的数据格式，支持用户自定义解析策略，多次解析策略，帮助用户快速完成数据初始化工作。
2、高性能存储、查询、分析能力：
列存储，“无索引”架避免索引开销，支持存算分离。通过自研原子能力实现处理、查询、存储、分析一体化。支持SQL/SPL语法，快速迁移原有规则和调查任务。
3、百亿级数据（实测数据）
存储压缩比：原始日志存储大小 / 压缩后存储大小 > 10
单字段等值匹配查询 < 5秒
单字段前缀匹配查询 < 10秒
单字段聚合统计 < 30秒
4、安全场景：
内置多种安全场景、检测规则/模型、威胁情报IOC、漏洞情报等，即开即用，秒级查询，快速上手PB级海量数据回溯及威胁狩猎等主动防御手段
5、开放“插件化”APP：
提供多样的可灵活自定义场景APP，插件化可插拔，根据业务场景扩展，生成定制的数据分析视图和任务。