建置AlienVault內網資安告警平台預期效益

  • 面對越來越嚴重,數量越來越龐大的惡意程式及惡意行為,AlienVault可以在不影響其他正常使用者連線的情況下,透過其威脅資料庫正確的辨識出 異常的網路行為,確保了單位的網路運作無虞。
  • 可針對異常的行為及服務異常進行即時的告警,並可透過資產等級的定義來定義告警的即時性以及嚴重性,讓管理人員可以即時的瞭解到問題的嚴重性及排定優先處理順序。
  • 可將單位內部所有監控的資產以圖形化架構圖匯入AlienVault當中,即時的進行監控及顯示告警,並可透過點擊異常燈號來導出問題事件以利進階問題分析。

以SIEM來說, AlienVault主要是收集相關設備的日誌做分析找出系統異常的部分。 但是在現實環境中,可能會因為導入廠商的技術能力或是主機效能等因素,而導致無法將完整的日誌log導入到SIEM。這也是多數傳統SIEM效果不佳的主要原因。有鑑於此,Alienvault USM提供不同的資料搜集模組「log、traffic、弱點、資產、HIDS」等,除了透過其他模組彌補日誌log資料不完整的缺陷外,並把不同模組資料交叉比對提高分析者準確度,比如:IDS日誌log資料和弱點掃描的資料,透過這種方式可以過慮掉大量的IDS告警資料。

佈建示意圖

*以上所有資料僅提供參考,如有變動以 AlienVault官網最新公布為準