AES Engine SIEM 平台

前言

Chris 最初接觸ArcSight時，對其強大的SIEM平台功能印象深刻。然而，隨著時間的推進，我也發現了ArcSight的一些缺點，例如查詢速度緩慢和部分匹配（partial matches）問題。這些問題在處理大量日誌數據時尤為突出，影響了整體系統的性能和效率。就在此時，我發現了Elasticsearch，其主要功能是日誌處理，並且擁有強大的日誌檢索技術。於是，我想到如果能夠將ArcSight和Elasticsearch的優點結合起來，排除各自的缺點，那麼我們就能夠有效解決當前ArcSight在性能上的不足。因此，我決定開發這個新系統——AES Engine，將兩者的技術優勢整合，為公司提供一個高效、靈活的安全信息和事件管理解決方案。

系統簡介

AES Engine（ArcSight Elastic Search Engine）是一款結合了ArcSight和Elastic Stack（ELK）技術優勢的安全信息和事件管理系統。它通過將元數據存儲在關聯型數據庫中，原始日誌數據存儲在Elasticsearch中，實現了高效的數據管理和快速查詢。AES Engine保留了ArcSight的核心功能，包括規則引擎、過濾規則、活動清單、活動頻道和欄位集等，確保了用戶的使用體驗，同時解決了傳統SIEM系統中的許多問題。

獨特優勢

1. 高效的數據存儲與查詢

   • Elasticsearch 存儲：AES Engine將原始日誌數據存儲在Elasticsearch中，利用其快速、高效的全文檢索功能，實現了海量日誌數據的實時查詢和分析。
   • 即時報表與查詢：通過AES Engine Backend和Kibana Query Language (KQL)，用戶可以實時查詢日誌數據，快速發現和響應異常事件。

2. 解決部分匹配問題

   • 部分匹配優化：在ArcSight中，日誌數據部分匹配過多會導致系統性能下降甚至崩潰。AES Engine有效解決了這一問題，確保系統在處理大量數據時仍能穩定運行。

3. 增強的事件響應功能

   • SOAR 整合：每當規則觸發後，系統能自動執行預定義的響應流程，如隔離受感染的設備或阻止可疑IP，極大加快了事件響應時間。
   • 多渠道通知：AES Engine不僅支持Email通知，還集成了Line通知功能，為用戶提供了靈活的通知渠道。

4. 保留原有的商業邏輯

   • 完整的ArcSight功能保留：AES Engine保留了ArcSight的商業邏輯和核心功能，用戶可以在新的系統中繼續使用熟悉的功能和工作流程，享受新的技術帶來的優勢。

5. 擴展性與靈活性

   • ELK架構優勢：基於Elastic Stack的分佈式架構，AES Engine具備良好的擴展性和靈活性，能夠輕鬆應對數據量的快速增長和新的安全需求。

6. 用戶體驗提升

   • 用戶界面優化：直觀用戶界面，使得用戶能夠輕鬆地分析和管理日誌數據，提供了強大的可視化功能。

未來發展規劃

為了進一步提升系統的視野和功能，AES Engine將在未來整合更多先進技術和管理系統：

1. 事件管理系統（Ticket System）：集成事件管理系統，提供統一的事件跟踪和處理流程，提高事件響應效率。
2. 資產管理系統：與資產管理系統對接，實現資產與日誌數據的關聯，提供更全面的安全視圖。
3. 弱點掃描管理系統：集成弱點掃描工具，自動識別和管理系統漏洞，增強整體安全性。
4. MITRE ATT&CK框架：結合MITRE ATT&CK框架，提供更豐富的攻擊情景和威脅分析，提升威脅檢測和響應能力。
5. ISAC（信息共享與分析中心）：整合ISAC資源，獲取最新的威脅情報和安全趨勢，及時應對新興威脅。
6. 機器學習：引入機器學習技術，自動化日誌分析和異常檢測，進一步提升系統的智能化水平。

結語

AES Engine通過結合ArcSight的商業邏輯和Elasticsearch的技術優勢，提供了一種高效、靈活的安全信息和事件管理解決方案。它不僅保留了傳統SIEM系統的核心功能，還通過先進的技術實現了許多突破和優化。未來，AES Engine將繼續集成更多的技術和功能，為公司提供更全面的安全管理支持，幫助公司應對日益複雜的網絡威脅。