員工、承包商、合作夥伴和特權使用者都可能成為內部威脅。這類威脅不易發現,一旦成功就會對企業造成巨大損失。ArcSight Intelligence 平台讓安全性團隊能全盤掌握末端、伺服器、網路,甚至是數 TB 的記錄資料。ArcSight 提供從後端到末端的內部威脅全貌。
透過機器學習技術,ArcSight Intelligence 可以勾勒出正常行為的全貌。發現異常或高風險活動後,該平台會將這些事件與相關使用者建立關聯、提高這些使用者的風險分數 (徹底降低誤報率),並在可採取動作的互動式介面上清楚顯示該事件的背景資訊。ArcSight Intelligence 能夠偵測並找出內部威脅,同時讓安全性團隊以更快、更有效率的方式來緩解這些風險。
現今的網路攻擊經常能夠滲透複雜的深入防禦安全架構,因此各公司都必須監控其網路內的這類威脅。但是,篩選大量事件資料的過程常常會導致許多誤報情形。ArcSight Intelligence 建立在真正的巨量資料平台上,可擷取並分析大量資料,以快速準確地發現攻擊。
ArcSight Intelligence 能夠偵測、連結和視覺化攻擊路徑,從帳戶遭入侵到橫向移動、資料偵察、資料暫存和資料外流等風險都能一一找出,為您提供滴水不漏的防護。透過關聯資訊,ArcSight Intelligence 就能在攻擊者展開行動的同時,迅速找出這些威脅。分析師也能立即取得以視覺方式呈現的事件資訊和工作流程,有效地完成驗證、調查與回應作業。觀看 Intelligence 應用實例,立即申請展示。
許多客戶會選擇將 ArcSight Intelligence 部署在以資料為主的安全性程式中,這是因為其分析功能可提供數位資產 (包括儲存庫中的專案、共享磁碟機和伺服器等) 的風險分數。
該平台會將行為分析技術應用至原始碼管理 (SCM) 等 IP 儲存庫的應用程式記錄,以獨特方式來解決後端可見度問題。ArcSight Intelligence 可以為分析師辨識高風險活動,讓他們在出現安全漏洞前,及早阻止不良行為。
末端偵測和回應 (EDR) 解決方案可為您提供最詳盡且最精準的威脅偵測資料。安全團隊可搭配使用該方案與能分析數十億筆末端事件的 ArcSight Intelligence,迅速有效地偵測帳戶入侵、橫向移動、內部偵察或資料外流的跡象。ArcSight Intelligence 讓您可從全新角度來分析使用者資訊,例如不尋常的登入頻率、作業日期/時間或異常機器等等,藉此提供更多有參考價值的內容,協助偵測難以發現的威脅。
結合 ArcSight Intelligence 的行為分析功能與 CrowdStrike 豐富的末端資料,能讓企業快速找出不易發現的威脅,像是來自內部攻擊者或鎖定目標的攻擊。這款解決方案會將數十億筆末端事件精簡成一張優先處理的情報清單,能協助減少警告疲乏的現象,讓安全運作中心專心處理真正重要的威脅,更順利地做出回應。
雖然 SIEM、DLP、IAM 和 NAC 產品在現今的安全營運中心扮演核心角色,但這些產品同時也造成許多安全漏洞,例如誤報太多和規則結構過度複雜等因素,都會讓安全營運中心逐漸失去精準偵測、驗證及回應威脅的能力。分析師總是浪費太多時間猜測哪些威脅會真正影響系統,ArcSight Intelligence 的進階分析平台經過精心設計,專門用於提高現有安全性工具成效及最佳化安全營運。
ArcSight Intelligence 會針對從現有安全性工具 (如身分識別與存取管理、遠端存取、Web 代理和原始碼儲存庫系統) 收集到的資料建立關連,在系統和應用程式層級呈現整個企業的使用者和服務帳戶、驗證和存取權限。該平台還可深入分析存取與移動高風險資料的行為,自動將內容相關的資料反映給 SIEM 或事件回應工具。另外,您也可透過該平台呼叫 API,已啟動驗證、DLP 或 NAC 系統的 IT 控制項。
網路釣魚、惡意軟體或資料外洩都可能造成帳戶遭到入侵。攻擊者會竊取客戶和員工的身分證明來獲利,或是存取其他應用程式與網路中的敏感資料。ArcSight Intelligence 平台由進階機器學習技術驅動,會運用上百種演算法,專門偵測使用者與服務帳戶遭入侵的情形。同時,ArcSight Intelligence 也能針對多重程式碼協同作業和版本管控軟體程式,使用其末端、目錄、存取控制清單、應用程式記錄指標建立關連,讓您不會錯過任何類型的帳戶攻擊。
ArcSight Intelligence 的可見範圍相當廣泛,能讓安全性團隊偵測帳戶入侵跡象,並將這些攻擊與相關的 IOC 建立關連。換句話說,該產品不僅能快速而精準地找出威脅,還可以在目標遭到攻擊前,進一步提供威脅相關資訊。
ArcSight Intelligence 能夠在目標遭受攻擊前,發現該行為。不過,這只是開頭而已。接下來,這個平台還會繼續協助安全性分析師驗證該攻擊行為、整合企業的事件回應程序,並向整個組織的團隊提供事件資訊。此外,使用者介面還會顯示攻擊事件的立體影像,這項重要資訊有助於相關人員即時掌握阻止該攻擊的方式。分析師可從實體風險檢視畫面上查看視覺化的攻擊時間軸、風險趨勢與新的異常情況,迅速掌握攻擊事件的發展。時間軸檢視畫面還會包含來自其他安全性產品的警示,以及與攻擊相關的威脅情報資訊。企業可借助這個平台將驗證與回應程序最佳化。
只要按一下,調查人員和威脅搜索人員就能存取事件的深層資訊。此外,運用 REST 型 API 並原生整合其他多個 ArcSight 元件,可最佳化回應與調查程序,讓安全性團隊擁有所需工具阻止攻擊行為侵害資料。
貴企業最重視哪些使用案例?立即安排我們的安全性專家向您進行產品展示,以瞭解 ArcSight Intelligence 提供的工具如何讓 SOC 團隊如虎添翼。
