定義 |
透過收集與分析日誌數據來監控網路中的關鍵活動,並提供網路威脅的實時概況。 |
透過自動化技術來分析與回應安全事件,整合自動化流程並同時支援案件跟蹤與管理。 |
作用 |
- 收集數據,如IDS/IPS、防火牆、應用程式的日誌等- 將數據集中化處理(數據彙總與歸一化)- 建立規則以辨識潛在威脅;- 輸出具優先級的警報。 |
- 自動執行安全威脅回應流程,如分析與阻止攻擊;- 將多個事件綜合成案件;- 提供統一介面以便檢視和管理事件。 |
類比 |
網路的"儀表板",類似車輛儀表板,用來顯示系統"健康狀況"(例如警示燈)。 |
將常規與複雜流程自動化,以快速回應安全威脅,且集中多件相關事件至單一案件視圖。 |
優點 |
- 適合大規模數據監控- 支援分析多來源、多層次數據- 更精確建立警報 |
- 提升事件回應效率- 減輕分析師手動處理工作量- 提供案例管理功能 |
缺點 |
- 需要大量配置與監控規則- 可能產生大量“誤報”(false positives) |
- 適用於高度自動化場景,對簡單需求可能過於複雜- 需要與其他工具整合才能發揮完整功能 |
使用場景 |
身為威脅偵測工具,主要幫助分析師監控與分析網路系統中的異常活動,判斷問題所在。 |
身為回應處理工具,專注於加速安全事件響應流程並提升整體效率,適合需支援多流程自動化的環境。 |