2020-01-21
Micro Focus ArcSight 最新版本發布
| ArcSight 最新版本集中在三個重要主題:簡化用戶體驗、強化 ArcSight 的智能分析功能、將 MITRE ATT&CK (對抗策略、技巧與常識) 框架納入安全覆蓋範圍的標準化評估 簡化安全維運 每一個通過 ArcSight 的事件都會被分配一個全域 (Global) ID 作為唯一的識別碼,所有 ArcSight 產品均可追蹤此一識別碼,簡化了調查作業及跨產品組合的分析作業。安裝容器部署 (CDF) 的用戶可以立即將更新資料全部發布到整個環境,在幾小時內完成更新,而無需像過去一樣需要數天。同時,ArcSight 現已內含 AutoPass 授權,可以自動計算 EPS (每秒事件數),以簡化用戶的授權體驗。 智慧化安全維運 新版本在 ArcSight 的日誌管理解決方案中整合了機器學習資料科學套件,讓用戶能執行更智慧的安全維運作業。用戶可以使用預建的運算法,或利用 Python 資料科學套件建立自己的運算法。效能更強化的 SIEM 解決方案,已成為我們有史以來最快速、效能最佳的 SIEM 系統。ArcSight 的威脅狩獵 (threat-hunting) 功能也更強大,不但資訊吸收率 (ingestion rate) 更高,也更快產出結果。 MITRE ATT&CK 此版本另一個重要部分是在 ArcSight 中加入 MITRE ATT&CK 框架。現在我們的 SIEM 和日誌管理工具都已內含 MITRE ATT&CK 儀表板,可將各個事件對映到該框架中所描述的惡意攻撃戰術和技巧,讓用戶立即清楚了解其環境中所發生的所有 MITRE 相關事件,並為其安全維運中心 (SOC) 的威脅曝露及安全覆蓋範圍,提供標準化的評估功能。為進一步支援 MITRE,Micro Focus 已推出新的網站 mitre.microfocus.com,將 Security Operations 解決方案的功能,對映到 MITRE 的技術列表。我們近期發布了新的影片和新的部落格,藉以說明將安全覆蓋範圍對映到 MITRE ATT&CK 的好處。 |
| 個別產品的版本資訊 ESM 7.2 效能與穩定性提升,是 ArcSight 推出以來最快、效能最佳的 SIEM 解決方案。 全域 ID 功能將對每一個通過 ArcSight 的安全事件分配一個唯一的 ID,讓您更輕鬆地跨越數個 ESM 設備及其他 ArcSight 解決方案,執行跨產品組合的分析作業。 立即可用的內容再度回到 ESM 了!用戶再度可以立即安裝預設內容,馬上處理基本的使用案例。 強化與 ServiceNow 的整合有助於 ESM 用戶提高這些工具的投資報酬率,並支援更多被管控的工作流程處理。ESM 7.2 可讓您依組織的需求,客制化 ServiceNow 範本。 EPS 授權現在可交由 AutoPass 授權技術來計算,再也無需人工計算。 Open JDK 已取代 Oracle JDK,如此將能加速底層 JDK 的安全性和效能更新,如果用戶覺得情況適宜,也可以執行自己的 JDK。 MISP CRCL (惡意軟體資訊共享平台) 是開放原始碼最大的威脅情報平台之一,現在已能透過專用的連結器 (connector) 與 ESM 立即整合。 全新的 MITRE ATT&CK 儀表板,可將 ESM 事件對映到 MITRE ATT&CK 框架中所描述的惡意攻擊戰術和技巧,協助用戶判斷其安全維運中心所面對的主要威脅技巧 (參見下圖)。 |
| Logger 7.0 機器學習資料科學內容現在除了採用內建內容的方式提供外,用戶也可以運用 Python 資料科學套件自建運算法。 新的報表功能可讓用戶自建安全漏洞總覽報表、匯出報表、排程報表產出時間、新增儀表板、建立查詢物件、建立比較表,並將常用報表新增到我的最愛。 展示說明影片可協助用戶充分利用 Logger 7.0。 EPS 授權現在可交由 AutoPass 授權技術來計算,再也無需人工計算。 Vertica 技術已和 Logger 7.0 整合,結合了 Vertica 快速的資料庫搜尋功能及 Logger 的報表引擎。 事件儲存量現在已增加到每個 Logger 執行個體高達 24TB。 MITRE ATT&CK 報表可讓用戶善用來自 MITRE 的最新威脅情報來評估其安全性 (參見下圖)。 |
| Investigate 3.0 搜尋與吸收效能已獲得提升,幾乎可以即時地送回搜尋結果。 資料庫通訊協定經過強化後,同樣的空間可以儲存更多資料。 任何事件接收時間都可以由 Investigate 處理或固定,即使所傳送的資訊是錯的。 容器部署 (CDF) 可立即將更新資料傳送到用戶的整個環境中,且在幾小時內完成更新,而非像過去一樣需要數天。 EPS 授權現在可交由 AutoPass 授權技術來計算,再也無需人工計算。 Transformation Hub 3.1 容器部署 (CDF) 可立即將更新資料傳送到整個 Transformation Hub 叢集,且在幾小時內完成更新,而非像過去一樣需要數天。容器部署也確保容器群 (pod) 啟動循序相依性是被遵行的,進而提升部署和重新設定組態的體驗。 更多安全和更新的元件庫與保護功能。 小幅度修正程式以改善用戶體驗。 更多安全和更新的元件庫與保護功能。 小幅度修正程式以改善用戶體驗。 ArcMC 2.93 資料流監控規則已改進。 EPS 授權現在可交由 AutoPass 授權技術來計算,再也無需人工計算。 匯出基礎架構關係的功能 (裝置等) 現已提供。 小幅度修正程式以改善用戶體驗。 Smart Connectors 7.14 增加了新的 SmartConnectors,主要項目包括:McAfee Network Security Manager DB、Microsoft Anti-malware (System Center Endpoint Protection and Microsoft Defender Advanced Threat Protection)、Microsoft Local Administrator Password Solution (LAPS)、Microsoft Sysmon。 對既有的連結器如 Azure、AWS 及其他,強化日誌支援。 Kafka 支援已最佳化。 |