Elasticsearch的维护企业Elastic推出SIEM(Security Information and Event Management)测试版,这项新的网络安全工具现作为Elastic Stack 7.2套装软件一部分,免费提供给用户使用。
原本是企业内部存储库搜索引擎的Elasticsearch,现在被应用成为Elastic SIEM核心分析网络威胁,其集成了数据可视化工具Kibana,并提供三大主要功能,用户可以监控主机以及来自网络的数据,并发现潜在的安全危胁。
Elastic SIEM三大功能分别为时间轴事件审查器、主机安全事件分析以及网络安全事件分析。时间轴事件审查器可让用户调查潜在违规行为,用户可以构建查询,加入像是对象以及来源等条件,找出使用不当应用程序的组织成员,并留存违规证据,作为说明的数据。
在时间轴事件审查器查询到的数据,可以在另外两个功能的仪表板中审查,主机安全事件分析除了能够关注来自服务器的活动外,也能审查时间轴事件审查器的查询数据集,而网络安全事件分析功能,则能让用户监控网络指标,掌握企业网络流量等状况,也能显示来自时间轴事件审查器的相关网络事件数据。
Elastic提到,他们会继续扩展Elastic SIEM的功能,加入分析最终用户行为的工具,以及基于规则的可疑行为自动标记功能,并集成威胁情报来源。