Elastic Security – SIEM 資訊安全監控中心
內容目錄
SIEM for the modern SOC 資訊安全監控中心
SIEM(Security Information and Event Management)能在雲端上利用任何資料源偵測、調查和回應不斷變化的威脅,並在主機層擁有更完善的管理。在現代安全使用案例下,透過免費且開放的 Elastic Security 提高營運成熟度並加速擴展。
以 Elasticsearch 的速度實現 SecOps
藉由分析和賦能多年的資料,在多雲的環境中擴展資料結構,Elasticsearch 統一分析師工作流程並與第三方技術整合。透過主動管理威脅和事件響應平台提高營運成熟度。
以速度取勝
體驗 schema-on-write 的速度和 schema-on-read 的靈活性。探索自定義儀表板,深入了事件,並透過基礎資料進行透視。
大規模運行
在 S3 等低成本物件儲存資料庫中保留的多年資料進行搜尋和偵查,並以 petabyte 處理資安資料,將您的搜尋帶入資料以進行全面分析。
收集時也保護資料
透過 osquery 收集主機資料並阻止惡意程式和勒索軟體,在整個環境範圍內部署免費且開源的 Elastic Agent, 只需點擊即可完成新用例。
資訊安全分析
透過預先建構的資料整合,在攻擊面中實現安全分析。
建立全面概觀
使用 Elastic Common Schema (ECS) 實現統一分析,並集中管理環境活動和內部與外部環境。無論資料源如何,該解決方案可以輕鬆地分析來自數位網域內外的資訊。
環境分析
使用儀表板監控資料,並快速訪問幾乎任何領域的趨勢圖。探索任何類型的資訊,可搜尋的快照可以用很低的成本擴展資料可見性的廣度和持久度。這一切都足以讓分析師滿意。
高保真(high-fidelity)規則自動檢測
利用基於行為的規則(behavior-based rules)持續保護環境,以偵測具有潛在威脅的行為和工具。分析攻擊者的行為,評估風險和嚴重度,對潛在威脅進行相對應的優先排序。這些檢測結果與 MITRE ATT&CK® 保持一致,定期更新並公開分享。
使用機器學習和實體 (entity) 分析評估風險
透過由預先建構的 ML 作業提供支援偵測異常,預防未知威脅。基於證據的假設 (evidence-based hypotheses) 偵測不論是否在預期內的各種威脅。保護有更高風險的主機和其他實體。
簡化調查、自動回應
透過威脅情報豐富告警並收集洞察,透過詳細的調查指南和內建的案例管理來標準化團隊流程。在交互式時間線上收集調查結果。檢查主機並在分散式端點上立即採取行動,並且透過 SOAR(資安協作自動化回應)和 ticketing 工作流程的整合保持動力。
解更多 Elastic SIEM 或 Elasticsearch產品介紹,或聯絡我們。
