Elastic Security 成功案例|KPMG 導入降低儲存成本,全面翻倍資安能見度
企業升級資安系統時,常在「擴充儲存成本」與「資安能見度」之間拉鋸。
本文解析 KPMG 科技諮詢如何協助客戶無痛遷移至 Elastic Security,在每日處理 2TB 巨量日誌的同時,精準降低 75% 儲存成本,並透過 AI 異常偵測大減誤報率,實現兼顧預算與高效能的資安架構升級。
推薦閲讀:Elastic Agentic SOC:如何用 AI 助理加速資安事件調查?
Elastic Security 三大轉型效益
- 縮短 20% 至 40% 的專案時程: KPMG 身為 Elastic 代理商與顧問團隊,憑藉對 Elastic Security 及新功能(如自動遷移至 ES|QL、內建資安規則)的深入理解,加速企業從舊版 SIEM 遷移進度。
- 儲存量擴充 10 倍,成本僅需四分之一: 客戶可運用 Elastic 的多層次雲端儲存架構快速擴充,降低儲存成本的同時,完整保留更多關鍵日誌。
- 主動且具備韌性的資安防護: 透過 Elastic Security 內建 AI 分析元件,協助企業強化整體資安體質,全方位抵禦潛在威脅。
舊版 SIEM 的遷移痛點
將既有的資安資訊與事件管理平台遷移至更靈活、更具成本效益的架構,對企業來說是一大挑戰。
KPMG 科技諮詢團隊長期深耕數據分析、AI 與新興技術,擁有豐富的 SIEM 遷移經驗,能確保降低軟體授權成本與供應商複雜度,資安維運效也同時能達到預期水準。
KPMG 科技諮詢技術長 Liron Ben Yosef 曾表示:「客戶通常希望擺脫計價高昂的既有解決方案。Elastic 除了能同時滿足資安(SIEM)與觀測性(APM)等多種應用情境,其彈性更能協助企業整合並簡化複雜的 IT 系統。」
KPMG 協助大型客戶移轉經歷
某 KPMG 客戶在使用舊版 SIEM 平台六年後,為提升系統防禦力並優化數據管理,決定將架構全面遷移至 Elastic Security。
此遷移專案高度複雜,必須在緊湊的時程內移轉數千個儀表板、300 個數據源以及 2,000 組告警規則。為了確保資安維運不中斷,所有告警與儀表板都必須在舊系統停機前,在 Elastic 環境中完成部署並正常運作。
專案第一階段採用「搬移至雲端(Lift-and-Shift)」策略,確保 Elastic 完美銜接舊平台的運作模式。在 KPMG 資安與數據工程專家的協助下,客戶最終提前完成部署,順利優化了數據導入、儲存架構與即時告警機制。
簡化遷移的關鍵 Elastic 功能
- ES|QL(Elasticsearch 查詢語言): 成為客戶的核心查詢工具,在不犧牲效能的前提下加速告警與儀表板的遷移。
- Elastic Watcher: 根據 ES|QL 查詢結果建立即時告警,並動態更新擴充策略,確保搜尋時的資料時效性。
- 資料生命週期管理(ILM): 透過熱節點(Hot Nodes)處理即時資料、冷節點(Cold Nodes)封存歷史資料,並將大量長期資料封存在凍結層(Frozen Tier),達成成本最佳化。
- Kibana 儀表板: 結合 Lens、ES|QL 面板與 Vega 呈現動態圖表。資安團隊能藉此獲得更深度的能見度,協助分析人員更快偵測威脅並主動回應。
數據處理表現與成本控管
在 KPMG 科技諮詢的引導下,客戶成功轉型為更具擴充性與成本效益的 SIEM 架構:
- 每日處理 2TB 數據: 相當於近 10 億筆資安事件。
- 高效協同作業: 系統支援數百組排程告警,並可讓 50 名資安分析師同時使用進階搜尋與儀表板工具。
- 儲存容量大翻倍: 透過 Elastic 的資料分層策略(Data Tiering),客戶的資安資料儲存量從 70TB 大幅擴充至 840TB,而儲存成本卻降低了 75%。
「速度、規模、AI 與價值是 Elastic 平台的四大核心。在此基礎上,我們能協助客戶在控管成本的同時釋放更多潛能。這是一個能帶來實質成效的夥伴關係。」 —— Liron Ben Yosef, KPMG 科技諮詢技術長
機器學習與權限管理優化
不同於舊系統因儲存空間限制而必須捨棄部分事件資料,Elastic 的分散式架構與彈性索引能完整保留關鍵的資安洞察。
此外,Elastic 內建的機器學習異常偵測功能也是一大亮點。此自動化機制能大幅降低誤報率、提升威脅可視性,並縮短調查時間,在事件擴大前即時發出預警。
在權限管理上,利用 Elastic 角色存取控制(RBAC)能精準管理資料權限;跨叢集搜尋(CCS)則讓團隊無需重複驗證(LDAP),即可跨網路搜尋資料。
支援混合雲與地端多元部署
架構的靈活性對企業至關重要。KPMG 團隊已在多種環境中成功部署 Elastic Security,包含專為在地端、隔離網路容器環境設計的 ECK(Elastic Cloud on Kubernetes),以及託管雲與混合雲架構。
以實際案例來說,KPMG 協助某大型數位原生企業在 AWS 雲端上建立託管式 Elastic 環境;而針對某大型銀行,則部署了地端 ECK 搭配 AWS EKS 自管 Elastic 實例的混合雲架構。
導入 AI 功能加速自動化
隨著越來越多企業轉向 Elastic Security,AI 驅動的資安功能已成為焦點,包含情境調查、AI 風險評估、自動化維運劇本(Runbooks)與回應建議。
KPMG 亦引進 Elastic AI 工具來加速遷移:
- 自動導入(Automatic Import): 大幅加快新數據源的對接速度。
- 自動遷移(Automatic Migration): 利用 AI 將舊版 SIEM 的偵測規則自動轉換並對應至 Elastic 的 ES|QL。
- Elastic AI Assistant: 資安分析師可透過對話式介面,以自然語言與數據進行互動。
針對歷史資料的處理,Elastic 允許客戶將舊資料保留在原始 SIEM 平台上,直到符合汰換政策為止;若需遷移舊資料,KPMG 也能透過以 Logstash 為基礎的客製化連接器,完成索引與欄位的對應,無論資料量大小皆能彈性擴充。
結語
隨著數據量增長與技術需求複雜化,IT 架構的升級勢在必行。KPMG 科技諮詢與 Elastic 的合作,將持續協助企業正面迎接大數據挑戰、探索更多應用情境,並在控制成本的前提下創造最高價值。
本文翻譯自:KPMG Technology consulting deploys Elastic Security to cut storage costs, increase visibility, and reduce false positives
想了解更多資訊,歡迎聯絡我們,或是 加入歐立威 Line 好友!














