Your browser is not supported

For the best experience, use Google Chrome or Mozilla Firefox.

ArcSight Intelligence

ArcSight Intelligence 借助机器学习和 AI 功能,使 SOC 团队更有效地进行威胁搜寻、分类和调查的示例。

内部威胁检测

员工、承包商、合作伙伴和特权用户均可变成内部威胁。内部威胁很难被发现,但是它们一旦成功,将会造成毁灭性的后果。ArcSight Intelligence 平台为安全团队提供了跨端点、服务器、网络甚至是数 TB 的日志数据可视性。ArcSight 提供了从后端到端点的内部威胁的完整视图。

ArcSight Intelligence 可以通过机器学习创建正常过程的整体图。发现异常或高风险活动后,它将这些事件与所涉及的用户联系起来,提高他们的风险评分(从根本上将误报率降到最低),并在清晰、可操作的交互式界面中呈现事件的上下文。ArcSight Intelligence 可检测和揭露内部威胁,同时让安全团队能够更加快速、高效地工作,减轻威胁。

内部威胁检测

目标攻击检测

当今的网络攻击甚至经常会穿透复杂的纵深防御边界。公司必须监测器网络内部的威胁。但是,筛选大量事件数据通常会产生大部分误报。ArcSight Intelligence 建立在真正的大数据平台上,可提取并分析大量数据,以快速、准确地发现攻击。

ArcSight Intelligence 可以检测、连接和可视化攻击路径 - 从帐户泄露到横向移动、数据侦察、数据分段和数据移动,以进行渗透。在这种情况下,ArcSight Intelligence 可以随着攻击的发展而迅速地发现攻击。立即为分析师提供事件可视化和工作流程,进行有效的验证、调查和响应。观看 Intelligence 实际操作演示,立即申请演示。

目标攻击检测

敏感数据和 IP 保护

许多客户将 ArcSight Intelligence 部署在以数据为中心的安全程序中,因为该分析为数字资产(包括存储库中的项目、共享驱动器、服务器等)提供了风险分摊。

该平台将行为分析应用于 IP 存储库的应用程序日志(例如源代码管理 (SCM)),独具一格地解决后端可见性问题。ArcSight Intelligence 可以为分析师识别高风险的活动,以便他们在出现漏洞之前阻止不良行为。

敏感数据和 IP 保护

端点检测和响应

端点检测和响应 (EDR) 解决方案提供了最为详细和准确的威胁检测数据。安全团队可结合使用可分析数十亿个端点事件的 ArcSight Intelligence,快速、有效地检测到帐户入侵、横向移动、内部侦查或数据泄露的迹象。ArcSight Intelligence 提供了新的用户信息亮点,例如异常的登录频率、工作日期或时间或不寻常的机器,从而增加了有价值的上下文,帮助检测难以发现的威胁。

将 ArcSight Intelligence 的行为分析与 CrowdStrike's 丰富的端点数据结合起来,迅速发现难以发现的威胁,例如来自内部人员或针对性攻击的威胁。将数十亿个事件提炼到少数优先的威胁线索,从而消除警报疲劳,使安全运维中心能够专注于真正重要的威胁,从而无缝响应威胁。

端点检测和响应

优化安全运维

尽管 SIEM、DLP、IAM 和 NAC 产品是当今 安全运维中心的基石,同时也造成了安全漏洞 - 太多的误报和过于复杂的策略结构降低了安全运营中心准确检测、验证和响应威胁的能力。分析师也浪费了太多时间猜测哪些是真正的威胁。ArcSight Intelligence 高级分析平台的创建是为了最大程度地利用现有安全工具,并优化安全运维

ArcSight Intelligence 将其从身份和访问管理、远程访问、Web 代理和源代码储存库等现有的安全工具中收集的数据进行关联,以在系统和应用程序级别提供用户和服务帐户、身份验证以及访问的企业范围视图。该平台还可以洞察高风险数据的访问和移动,自动将上下文数据反馈回您的 SIEM 或事件响应工具。它可发起 API 调用,在身份验证、DLP 或 NAC 系统中激活 IT 控件。

优化安全运维

帐户泄露检测

帐户泄露可能导致网络钓鱼、恶意软件或数据泄露。攻击者窃取客户和员工凭证以获得经济利益,或访问其他应用程序和网络中的敏感数据。在先进的机器学习的推动下,ArcSight Intelligence 平台采用了数百种算法,专注于用户和服务帐户之间的帐户泄露检测。ArcSight Intelligence 还是唯一可以将来自多个代码协作和版本控制软件程序的端点、目录、ACL 和应用程序日志中的指示符关联起来的安全分析产品。它覆盖了所有类型的帐户攻击。

ArcSight Intelligence 的广泛可见性使安全团队能够检测到帐户泄露,并将这些攻击与相关的 IOC 关联起来。换言之,它不仅能够快速、准确地发现威胁,还可以在攻击到达目标之前就进一步提供攻击所依据的上下文信息。

帐户泄露检测

威胁追踪线索生成

ArcSight Intelligence 会在攻击到达目标之前先发现攻击。这只是开始。然后,它将协助安全分析人员验证该攻击,与企业的事件响应流程集成,并向组织中的团队提供事件信息。该 UI 提供了攻击的三维图,这对于实时了解如何阻止攻击至关重要。实体风险视图为分析人员提供了攻击时间表、风险趋势和新异常情况的可视化视图。时间线视图还可以包括来自其他安全产品的警报以及与攻击有关的威胁情报信息。它可以优化验证和响应进程。

调查人员和威胁追踪人员可以一键访问事件的深层次事件级别信息。此外,RESTful API 以及与多个其他 ArcSight 组件的本机集成优化了响应和调查流程,为安全团队提供了在数据泄露之前阻止攻击所需的工具。

威胁追踪线索生成

特权帐户监控

涉及内部威胁的高知名度事件提醒我们,我们对特权帐户的行为是多么的盲目。如果员工属于威胁,或者其凭证已被泄露,则访问这种类型的帐户可能会导致重大损失。

对于每个特权帐户,ArcSight Intelligence 都会将时间、身份验证、访问、应用程序使用以及数据移动等行为纳入考虑范围,以确定各种行为的基准。当帐户偏离基准时,ArcSight Intelligence 的分析将可视化特权用户的活动,通过风险评分排除误报,然后提醒安全部门采取行动。

特权帐户监控

资源

什么是受信任的互联网连接?

了解什么是受信任的互联网连接,以及它如何成为管理和预算办公室的任务的一部分。

申请 ArcSight Intelligence 演示

哪些用例是您企业的头等大事?安排时间与我们的一位安全专家一起观看演示,了解 ArcSight Intelligence 如何为您提供工具,让您的 SOC 如虎添翼。

release-rel-2024-5-1-9444 | Tue Apr 30 16:03:23 PDT 2024
9444
release/rel-2024-5-1-9444
Tue Apr 30 16:03:23 PDT 2024
AWS