SIEM可以分析主機相關和網絡相關的安全事件,作為警報調查或交互式威脅搜尋的一部分。
Kibana中的SIEM應用程序為安全團隊提供了一個交互式工作區,以對事件進行分類並進行初步調查。 此外,機器學習異常檢測作業和檢測引擎規則提供了自動檢測整個服務器和工作站機群中可疑活動的方法。
在時間軸事件檢視器查詢到的資料,可以在另外兩個功能的儀表板中檢視,主機安全事件分析除了能夠追蹤來自伺服器的活動外,也能檢視時間軸事件檢視器的查詢資料集,而網路安全事件分析功能,則能讓用戶監控網路指標,掌握企業網路流量等狀況,也能顯示來自時間軸事件檢視器的相關網路事件資料。
Elastic提到,他們會繼續擴充Elastic SIEM的功能,加入分析終端使用者行為的工具,以及基於規則的可疑行為自動標記功能,並整合威脅情報來源。
iThome鐵人賽
看影片追技術