Elastic Rule Alert 資安告警|網路資安異常即時通知

瀏覽人次: 3461

Rule Engine 告警引擎
Elastic Rule Alert 告警引擎
傳統資安事件管理平台 (Security Information Event
Management)
 簡稱 SIEM
平台,主要使用關聯式資料庫來進行即時的事件監控與分析,
在現今大數據的時代裡需要對巨量資料(Big
Data)事件進行分析與過濾,
過去的傳統關聯式資料庫在做分析運算時,非常容易遇到效能上的瓶頸,因此 Elastic Rule Alert 對於巨量資料(Big
Data),採用分散式搜尋引擎 Elasticsearch 做為平台架構,Elasticsearch
不僅是一個 NoSQL 資料庫,還是一個 base on Apache Lucene
為基礎建置的開放原始碼、分散式、RESTful 資訊檢索架構,同時具有很高的可擴充性
(scalability) 與可用性 (availability),能夠儲存巨量資料,
以及強大的資料處理效能。


Elastic Rule Alert 列表清單

製作屬於您的告警規則

Elastic Rule Alert 是基於 ELK 的解決方案,任何儲存於 Elasticsearch
的數據資料,皆能規劃屬於自己的告警規則,而且不限制於任何產品。Elastic Rule Alert
是以完全客製化的角度所以開發出來的產品,不論規則有多複雜,都能夠以判斷式的方式不斷的組合,甚至將規則獨立建立,並重覆的使用於其他規則中。

多種計算公式應用於不同情境

Elastic Rule Alert 可以彈性設定各種檢查時間頻率,透過閥值定義,搭配計算公式
(count、unique_count、sum、avg、max、min),可以幫助用戶定義更多符合情境所需的檢查方式,並可以針對計算欄位定義類型,讓告警訊息更具可讀性。

Elastic Alert Rule 多種公式應用多種情境

Elastic Rule Alert TTL 不重複告警設定

告警時效性設計

Elastic Rule Alert 可以自定義多組告警時效,透過變數定義的方式,可與多組告警規則進行綁定,系統即會自動調整告警頻率,避免告警訊息變為垃圾訊息。

多種告警方式
告警訊息可透過 Line、Email 進行通知,並透過變數轉換,自動帶出告警實質數據,讓告警訊息更具可讀性
Elastic Rule Alert 告警設定

七大特色


Rule Engine 告警引擎,全方位的事件收集

全方位的事件收集

Elastic
Rule Alert 可以從各種不同的機器或設備收集事件資訊(Event
Log),其中包括網路設備、伺服器、作業系統、儲存系統、
資料庫、應用系統等...。通過這些數量巨大、結構複雜、類型眾多 Log
的集中管理,
Elastic
Rule Alert
 可以全方位監控組織內外部的異常活動。

Rule Engine 告警引擎,資料正規化和分類

資料正規化和分類

不同的作業系統或應用程式,所產生的事件內容、格式、欄位名稱都不盡相同,系統或鑑識人員很難在這些原始事件中分析出有用的資訊,Elastic
Rule Alert
 將集中的所有資料屬性、內容迥異的結構化和非結構化
log,進行資料梳理和整合,轉換為統一格式的資料,
並進行高速的全文檢索、彈性的關鍵字搜索功能、過濾、統計、分類等分析工作,使得日誌數據的價值得到最充分的挖掘。

Rule Engine 告警引擎,Event Base 的規則分析

Event Base 的規則分析

可以將所有記錄與事件等內容資訊 (例如身分識別、角色、存取)
進行關聯,並找出組織所定義出的風險,例如:
1.
非上班時間登入並且存取敏感資料夾,來告警可能的資料外洩情形。
2.
主機連到特殊連接埠後,並開始大量掃描內部網路,
來告警主機可能被植入木馬、後門。

Rule Engine 告警引擎,Metrics Base 的規則分析

Metrics Base 的規則分析

透過 Elastic Rule Alert 偵測可以提前找到伺服器服務回應過慢的可能原因,並且提前的因應讓系統達到高可用性
(high availability)、穩定性 (stability),例如:

1. 定義伺服器於五分鐘內 CPU 平均超過 90% 的使用率判定為異常。
2. 定義伺服器或防火牆的總流量大於多少 GB 判定為異常。

Rule Engine 告警引擎,即時追蹤與警示

即時追蹤與警示

當特定使用者、應用程式、伺服器或網路設備受到威脅時即可接收通知。

Rule Engine 告警引擎,即時追蹤與警示

自動回溯偵測機制

當有新的中繼站黑名單加入時,系統會自動比對曾經連到該中繼站黑名單的主機。

Rule Engine 告警引擎,快速調查與分析

快速調查與分析

Elastic
Rule Alert
 平台儲存的巨量資料(Big
Data)中,藉由 Elasticsearch
提供技術支援的後端,
最佳化查詢效能對資料進行高速且精準鎖定目標的搜尋,當風險發生時可以進行快速的調查與分析,並且可以發現造成風險的活動已經進行多久以及有誰參與這項活動,用於判斷組織是否還暴露在特定攻擊之中。



想進一步了解嗎? 聯絡我們


找不到你要的產品嗎


Elasticsearch 大數據搜尋引擎

Warroom
戰情室

Eggplant DAI
自動化測試

Icons made by
Freepik from
www.flaticon.com

✦ 集先鋒 Bimap – 企業建置高速穩定的海量日誌分析平台✦

集中不同的結構化資料和非結構化日誌,並進行關聯性的大數據整合,客製化儀表版、自訂事件告警、機器學習等等,以滿足各種大數據的應用場景和解決方案。