|
|
|
|
产品简介: ArcSight Pattern Discovery
强大的模式识别功能
ArcSight Pattern Discovery 自动确定良性和恶性重复事件格式,并 创建相应的规则,将来就能够实时进行检测,发现低频率和过程缓慢 的攻击。 |
优势亮点
• 快速识别新出现的蠕虫和蠕虫变体, 甚至在特征库更新之前就可以做到这 一点
• 每日检查新增的模式,自动发现活动但未 知的威胁
• 通过智能地自动创建规则来 提升安全计划 |
“在部署 ArcSight Pattern Discovery 之后不到 5 分钟的时间,我们就发现了一种新的蠕虫变体正 在攻击我们的 Web 服务器,并解决了已经研究长 达 40 个小时的可疑活动”
— 来自一家财富 50 强制造企业
发现重复的事件模式
ArcSight™ Pattern Discovery 自动识别可疑和疑似 事件的模式,能够立刻发现零天蠕虫、低频率且过程 缓慢的攻击和 Rootkit 攻击。除发现恶意的事件模 式,Pattern Discovery 还能够帮助您找到网络设备、 系统和应用程序的错误配置。
ArcSight™ ESM 的此可 选模块构建于一款正在申请专利的模式识别引擎的基 础上,它利用了 ArcSight ESM 的 100% 数据捕获、 标准化和分类技术,确保实现最准确和最详细的分析。 Pattern Discovery 发现重复的事件模式后,它捕获 事件详细信息,以帮助分析人员将良性模式和恶意模 式区分开,并自动在 ArcSight ESM 中创建新的规 则,以便能够在未来识别这些威胁。通过将此智能模 块添加到 ArcSight ESM,您可以立刻为安全监视计 划增加一层新的关联。Pattern Discovery 自动识别 低频率且过程缓慢的暴力攻击。这类攻击如果不触发 预定义的阙值,如连续失败的登录尝试次数,则可能 检测不到。Pattern Discovery 还能够识别重复的攻 击,即使攻击事件行为的顺序与复杂脚本攻击(如 Rootkit 攻击)中看到的顺序不同。
强大的模式识别引擎
ArcSight Pattern Discovery 模式识别引擎在 ArcSight ESM 收集的所有可用源数据中搜索事件模 式。它可以在源和目标 IP 地址对、端口、事件行为、 事件结果或任何其他事件类别中找到重复的模式。模 式识别的覆盖范围广泛,因为 ArcSight ESM 提供了 最广泛的安全数据分类,所以能够发现隐藏在每天由 防火墙、入侵检测系统和系统日志生成的数以百万的原始安全事件和警报中的事件模式。例如,Pattern Discovery 可以将一组重复的相关事件识别为新的蠕 虫变体。在捕获的事件详细信息,这些事件在已知的 蠕虫 IDS 特征之后或之前列出。如果不使用 Pattern Discovery,派生蠕虫不断重复的某些行为将不可见, 因为 IDS 只能发现特征库定义的蠕虫部分。Pattern Discovery 能够发现与新蠕虫变体相关的所有事件, 因此可以避免出现破坏性的结果。
与 ArcSight ESM 自动响应集成
分析人员知道模式后,就能够确定该模式是表示良性 流量还是恶意攻击。Pattern Discovery 可以与 ArcSight ESM 的强大关联引擎无缝集成。集成后, 用户只需单击一次就可以创建规则,自动识别重复的 模式并采取相应的处理措施。处理措施包括发送通 知、打开一个新案例一直到自动响应等等。结果是漏 洞的存在时间缩短而且网络更加安全。
风险库中的资源越来越丰富
ArcSight Pattern Discovery 可以针对您的网络连 续构建已知可疑事件模式库,提高您的安全计划的自 动程度。这种关键的优势可以使 Pattern Discovery 用户花在分析上的时间成倍减少,从而可以将更多时 间集中在主动采取安全措施上。
 ArcSight Pattern Discovery 可以识别模式供您审 查,并自动创建响应规则。
获得更高价值
借助 ArcSight Pattern Discovery,您的团队将具有 非常全面的知识,足以应对零天攻击和自动攻击,企 业也可以将更多精力投入到改善安全状况中。
ArcSight Pattern Discovery 的功能包括:
• 灵活、自动的模式发现
• 全面数据捕获,以便识别恶意模式
• 单击一次即可创建识别模式的规则
• 自动通知和响应
• 定期或按需计划
• 与 ArcSight ESM 无缝集成 |
| | |
|
|
|
