icon

Elastic SIEM

以 Elasticsearch 的速度完成安全分析

您钟爱的有关 Elastic Stack 的方方面面,都涵盖在“安全信息和活动管理”(SIEM) 中。借助 Elastic SIEM 的速度、规模和相关性功能,推进您的安全运营和威胁跟踪活动。

最新的阿里云 Elasticsearch 服务已经上线,立即在阿里云上使用 Elastic 的全部商业功能!

了解更多ECS网络研讨会
下载最新版本

了解 Elastic Common Schema,这是应用常见数据模型的一种方式。

观看视频

应用来自 Linux 系统的托管数据,通过 Auditbeat 检测威胁。

观看网络研讨会

想要使用 Elastic Stack 进行安全分析?使用 Elastic SIEM 构建下一步防御计划。

观看网络研讨会

在 7.6 中,您能够使用已对应至 MITRE 的规则来进行自动检测,分析云和应用程序数据,并通过高效的工作流加快响应速度。

了解详情

SIEM,来自 Elastic (ELK) Stack 开发者

利用 Elastic SIEM 捍卫公司/组织的安全。它提供网络和托管数据集成、基于 Elastic Common Schema (ECS) 的可共享分析,并能够使用 Kibana 中的 SIEM 应用探索安全数据。

靠速度取胜

以 Elasticsearch 写时模式架构的速度在几秒钟内返回临时查询的结果。在自定义仪表板上实现数据可视化与交互。通过透视底层数据深入研究感兴趣的事件并获取面包屑数据。

大规模操作

Elastic SIEM 以 Elasticsearch 为核心,可以轻松处理 PB 级的安全数据。根据需要将数据保存任意期限,且在您最需要时可看到其完整内容,因为您永远不知道在下一个威胁来袭时您会需要哪些数据。

从任意位置采集

使用预构建的 Beats 集成,可以快速地从下列位置采集数据:您的端点、网络设备、应用程序,或者您喜欢的任何来源。如未找到所需的集成,请与 Elastic 社区协作来查找或构建。取得胜利需要开源。

审计事件
身份验证日志
DNS 流量
NetFlow

建立整体视图

收集数据是一回事,统一检查数据的能力是另一回事。有了 Elastic Common Schema (ECS),无论数据源有多么分散,您都可以对数据(例如来自您整个环境的日志、流量和上下文数据)进行集中分析。

安全运营和威胁捕获是一项团队活动

Elastic SIEM 应用是一个面向安全团队的交互式工作空间,可让他们对事件进行分类并开展初始调查。监测威胁,在时间线上收集证据,对相关事件进行固定并添加注释,以及将潜在事件转发给工单和 SOAR 平台。

获得监测环境的能力

在交互式仪表板和地图上查看数据。执行基于图表的关系分析。搜索所有类型的信息。使用这项技术为最敏锐的分析师尽快完成这一切。

用 Machine Learning 发掘异常情况

通过基于 Machine Learning 的异常检测,探索未知的威胁。用基于证据的假设武装威胁猎手。借助我们仍在不断扩大的预构建 Machine Learning 作业集合,发现意料之中和预料之外的所有威胁。

使用已对应至 ATT&CK 的规则自动进行检测

通过关联规则检测出已有潜在威胁迹象的工具、策略和程序,从而持续保护您的环境。借助预配置的风险和严重性评分,直接查看最重要内容。内容已对应至 MITRE ATT&CK 知识库,可即刻用于实施。

适用于所有人的 SIEM

目前我们正在构建 SIEM 的愿景。快速。开放。随时可供各地的安全分析师使用。

SIEM + ENDPOINT

收集、检测、保护并进行响应

如果您正在查找方案以将数据从端点传输至 Elastic SIEM,何不同时对端点进行保护呢?我们的自动代理 Elastic Endpoint Security 既可预防攻击,还能转发事件和警告以进行集中分析,有了这一工具,您轻松便可对端点进行保护。加入早期用户计划

定价

越简单越好,不再按采集节点数量定价

无论希望如何启用或扩展 Elastic,您都应该能够自由选择,从而通过我们的产品获得价值。仅为您需要的资源付费,按照您喜欢的方式进行部署,使用 Elastic 您还可以出色地完成更多事务。

下列用户已在使用,并深受他们的信任和喜爱

云端就绪,可部署在任何地方

在云端部署或就地部署 Elastic SIEM。选择 Elasticsearch Service on Elastic Cloud 以简化管理和扩展,或选择 Elastic Cloud Enterprise 以维持完全控制。

试用 Elastic SIEM

我们对 SIEM 有着独特的愿景:快速、强大、开放,且可供各地的分析师随时使用。

What just happened?

Auditbeat created an index pattern in Kibana with defined ECS fields, searches, visualizations, and dashboards. In a matter of minutes you can start viewing latest system audit information in the SIEM app.

Didn't work for you?

Auditbeat module assumes default operating system configuration. See the documentation for more details.

安全事件只是个开始

有指标吗?APM 数据?抑或是包含大量文本的文档?将数据集中到 Elastic Stack 中,以丰富安全分析资源,启用新的用例,并降低运行成本。

Logs

Logs

快速且可扩展的日志管理,绝不会让您失望。

了解详情
指标

指标

处理数字:CPU、内存,等等。

了解详情
APM

APM

获得有关自己应用程序性能的洞见。

了解详情