Management) 簡稱 SIEM
平台,主要使用關聯式資料庫來進行即時的事件監控與分析,
Data)事件進行分析與過濾,
Data),採用分散式搜尋引擎 Elasticsearch 做為平台架構,Elasticsearch
不僅是一個 NoSQL 資料庫,還是一個 base on Apache Lucene
為基礎建置的開放原始碼、分散式、RESTful 資訊檢索架構,同時具有很高的可擴充性
(scalability) 與可用性 (availability),能夠儲存巨量資料,
製作屬於您的告警規則
Elastic Rule Alert 是基於 ELK 的解決方案,任何儲存於 Elasticsearch
的數據資料,皆能規劃屬於自己的告警規則,而且不限制於任何產品。Elastic Rule Alert
是以完全客製化的角度所以開發出來的產品,不論規則有多複雜,都能夠以判斷式的方式不斷的組合,甚至將規則獨立建立,並重覆的使用於其他規則中。
多種計算公式應用於不同情境
Elastic Rule Alert 可以彈性設定各種檢查時間頻率,透過閥值定義,搭配計算公式
(count、unique_count、sum、avg、max、min),可以幫助用戶定義更多符合情境所需的檢查方式,並可以針對計算欄位定義類型,讓告警訊息更具可讀性。
告警時效性設計
Elastic Rule Alert 可以自定義多組告警時效,透過變數定義的方式,可與多組告警規則進行綁定,系統即會自動調整告警頻率,避免告警訊息變為垃圾訊息。
全方位的事件收集
Elastic
Rule Alert 可以從各種不同的機器或設備收集事件資訊(Event
Log),其中包括網路設備、伺服器、作業系統、儲存系統、
的集中管理,Elastic
Rule Alert 可以全方位監控組織內外部的異常活動。
資料正規化和分類
不同的作業系統或應用程式,所產生的事件內容、格式、
Rule Alert 將集中的所有資料屬性、內容迥異的結構化和非結構化
log,進行資料梳理和整合,轉換為統一格式的資料,
Event Base 的規則分析
進行關聯,並找出組織所定義出的風險,例如:
非上班時間登入並且存取敏感資料夾,來告警可能的資料外洩情形。
主機連到特殊連接埠後,並開始大量掃描內部網路,
Metrics Base 的規則分析
(high availability)、穩定性 (stability),例如:
即時追蹤與警示
當特定使用者、應用程式、
自動回溯偵測機制
當有新的中繼站黑名單加入時,
快速調查與分析
Elastic
Rule Alert 平台儲存的巨量資料(Big
Data)中,藉由 Elasticsearch
提供技術支援的後端,
想進一步了解嗎? 聯絡我們
找不到你要的產品嗎
