icon

SIEM

以 Elasticsearch 的速度完成 SIEM

Elastic Stack 免费且开放源码,您钟爱的有关它的方方面面,都涵盖在“安全信息和活动管理”(SIEM) 中。借助专为 SIEM 用例而打造的 Elasticsearch 的速度、规模和相关性功能,推进您的安全运营。

开始免费试用
在 Kibana 中下载免费的 Elastic 安全
illustrated-screenshot-SIEM-2x.png

了解 Elastic Common Schema,这是应用常见数据模型的一种方式。

观看视频

应用来自 Linux 系统的托管数据,通过 Auditbeat 检测威胁。

观看网络研讨会

想要使用 Elastic Stack 进行安全分析?使用 Elastic SIEM 构建下一步防御计划。

观看网络研讨会

新增功能

7.10 版增加了以下功能特性:云和 SaaS 检测;EQL 关联规则和威胁匹配规则;以及与 Cisco Umbrella、Microsoft Defender、Juniper 和 Zoom 的集成。

了解详情

SIEM,来自 Elastic (ELK) Stack 开发者

利用 Elastic 安全作为您的 SIEM 捍卫公司/组织的安全。轻松添加各种各样的数据,从而消除盲点。通过预构建的异常检测作业和公开可用的检测规则检测复杂威胁。通过强大的调查 UI 和嵌入式案例管理加快响应速度。所有这些操作都在单一管理平台上完成。

靠速度取胜

写时模式架构的速度在几秒钟内返回搜索结果。探索定制仪表板,深入研究关心的事件并透视底层数据。

大规模操作

Elastic 安全以 Elasticsearch 为核心,可以处理 PB 级的安全数据。您想保存多久就保存多久,并且能够用可搜索快照轻松分析多年的数据。

在收集数据的同时也在提供保护

借助 Elastic 代理,收集主机数据和阻止恶意软件变得前所未有的简单。无需任何成本即可跨终端进行部署,只需一次点击即可实现新的用例。

从任意位置采集

使用预构建的数据集成,可以快速将下列位置的信息集中起来:您的云端、网络、终端、应用程序,或者您喜欢的任何来源。如果您未找到所需的集成,请与 Elastic 社区协作进行构建。通过免费且开放的服务实现成功。

终端活动
审计事件
身份验证日志
DNS 流量
NetFlow

建立整体视图

收集数据是第一步。接下来还需要实现统一分析。有了 Elastic Common Schema (ECS),无论数据源有多么分散,您都可以对数据(例如来自您整个环境的日志、流量和上下文数据)进行集中分析。

简化安全运维 (SecOps) 工作流

Elastic 安全为安全团队提供了交互式工作空间,用来检测威胁并进行响应。对事件进行分类,开展调查,从而按照交互式时间线收集证据。轻松开放和更新案例,将潜在事件转发给安全运维 (SecOps) 工作流和 IT 工单平台。

获得监测环境的能力

在仪表板和地图上交互处理您的数据。聚合图表在 UI 中各处均有提供,以便您查看相关的上下文数据。搜索所有类型的信息。使用这项技术为最敏锐的分析师尽快完成这一切。

用 Machine Learning 发掘异常情况

通过基于 Machine Learning 的异常检测,探索未知的威胁。用基于证据的假设武装威胁猎手。借助我们不断扩大的预构建 Machine Learning 作业集合,发现意料之中和预料之外的所有威胁。

通过高准确性的优先规则自动执行检测

通过关联规则检测出已有潜在威胁迹象的工具、策略、程序和行为,从而持续保护您的环境。与威胁指标进行比较,并据此确定优先级。借助预配置的风险和严重性评分,直接切入要害。检测已更新至 MITRE ATT&CK®面向所有人群开放,可即刻实施。

适用于所有人的 SIEM

我们对 SIEM 有着独特的愿景:快速、强大、开放,且可供各地的安全分析师使用。

一个代理,多种用例

防御、检测和响应

如果您已经部署了一个代理来收集终端数据,那何不用同一代理来防御恶意软件呢?Elastic 安全可防御、检测威胁并就威胁做出响应,所有这些活动均可通过公开且免费提供的单一代理来实现。

越简单越好

不再按采集节点数量定价

无论您希望如何启用或扩展 Elastic,都应该能够自由选择,从而通过我们的产品获得价值。只需为您使用的资源付费,按照您的意愿进行部署,便可使用 Elastic 出色地完成更多的事务。

下列用户已在使用,并深受他们的信任和喜爱

云端就绪的 SIEM,可部署在任何地方

试用 Elastic 安全

在云端或本地部署 Elastic 安全。选择 Elasticsearch Service on Elastic Cloud 以简化管理和扩展作业,或选择 Elastic Cloud Enterprise 以维持完全控制。 

有疑问吗?欢迎访问 Elastic 安全文档,也可加入 Elastic 安全论坛

What just happened?

Auditbeat created an index pattern in Kibana with defined ECS fields, searches, visualizations, and dashboards. In a matter of minutes you can start viewing the latest system audit information in the SIEM app.

Didn't work for you?

Auditbeat module assumes default operating system configuration. See the documentation for more details.

安全事件只是个开始

有指标吗?APM 数据?抑或是包含大量文本的文档?将您的数据集中到 Elastic Stack 中,以丰富安全分析资源,启用新的用例,并降低运营成本。

日志

日志

快速且可扩展的日志管理,绝不会让您失望。

了解详情
指标

指标

处理数字:CPU、内存,等等。

了解详情
APM

APM

深入了解自己应用程序的性能。

了解详情