🔐
ArcSight 2023.1 正式亮相
OpenText Cybersecurity 团队很高兴向您汇报 OpenTextTM ArcSight 2023.1 的焕新升级。这是一次历史性的重大版本更新,标志着 ArcSight SaaS 平台从此具备实时威胁检测能力,也象征着 ArcSight 用户正式进入新旅程,您现在可以在云托管环境中获得 ArcSight 产品组合的全部功能。
我们很自豪能为全球的网络安全团队提供市场上并不多见的、真正完整的“SIEM 即服务”(SaaS)解决方案,而这一方案是以实时威胁检测、SOAR、威胁情报、行为分析、搜索、日志管理和合规等强大能力为支撑的。
#1
该版本正好在企业 SOC(安全运营中心)的“尖峰时刻”发布。抵御现代网络威胁,从始至终都是安全团队面临的重大挑战之一。但这一切并非易事——安全团队在监控不断扩大攻击面的同时,还要面对日益复杂的威胁。然而我们看到,随着潜在威胁的清单越来越长,熟练的安全操作人员的缺口却越来越大,这导致了一系列损失——安全团队的工作量显著增加,因为他们需要更有力地防止企业组织暴露在威胁中;更糟糕的是,许多团队发现自己不得不将大量的时间、精力用于安全工具及系统的管理、维护和更新。
ArcSight 团队了解您所要解决的所有挑战,我们通过 2023.1 最新版本表明了态度——始终致力于提供行业领先的安全解决方案,以应对当今不断变化的威胁形势。ArcSight 2023.1 能帮助您简化安全操作,并通过实时检测、原生 SOAR、增强搜索、新集成等减少暴露于威胁的时间。
通过在 SaaS 方案中提供实时威胁检测能力,ArcSight 已远远超越一般的 SIEM 产品,成为真正完整的“SIEM 即服务”解决方案。当实时检测与自动响应相结合,ArcSight 能帮助您的安全团队快速检测和响应已知威胁,帮助您实现平均检测时间(MTTD)和平均响应时间(MTTR)的预定目标;更重要的是,减少您组织整体网络风险和威胁暴露。
▲ ArcSight“SIEM 即服务”的 GDPR 仪表板
有了 OpenTextTM ArcSight SaaS,您的安全操作体验大大简化,不再需要单独购买、安装并管理服务器了。“SIEM 即服务”将大大缩减基础设施的工作负载、维护操作,并缩短学习曲线,这样,您的分析员团队可以重新掌控属于他们的时间,已专注于成为高效的威胁猎手,以及所有人都梦想成为的网络安全英雄。
凭借深耕 SIEM 领域超过 20 年的经验,ArcSight 团队很自豪能为您和您的团队提供一系列尖端的解决方案。它们可以完全部署于 SaaS 和云外环境中,帮助您的团队有效迎击现代威胁。
#2
ArcSight SaaS 实时威胁检测
▲ ArcSight“SIEM 即服务”事件细节面板
以速度和效率应对威胁,是安全操作的关键之一。市面上有非常多的威胁检测技术,但 SIEM 的实时事件关联是其中发现威胁、升级应对已知的防御措施的最“短平快”的方法。它可以实时提醒分析人员与威胁相关的事件,而不是让他们苦苦等待分批搜索。
长期以来,ArcSight 一直是实时威胁检测的市场领导者,现在则是少数几个能在 SaaS 领域提供这种能力的厂商之一。
ArcSight SaaS 实时检测是一个全面的数据收集和实时的威胁分析解决方案,可以在已知威胁发生时及时提醒 SOC 分析团队。OpenTextTM ArcSight SaaS Real-Time Threat Detection 以原生的 SOAR(下文将详细介绍)和原生的威胁情报反馈(GTAP)为坚实后盾,提供关于威胁及恶意活动的最新反馈,让安全团队能在损害发生之前就对威胁指标、网络事件等做出快速且准确的反应。此外,动态事件风险评分和优先级,还有助于分析人员避免误报,将注意力集中于优先级最高的威胁上。ArcSight SaaS Real-Time Threat Detection 还为企业提供了增强的威胁可见性、仪表板、合规性支持、MITRE ATT&CK 集成等等,帮助您对当下安全状况具备更清晰的洞察力。
▲ 实时威胁检测的 SOC 数据仪表板
ArcSight SaaS Real-Time Threat Detection 继承了OpenTextTM ArcSight Enterprise Security Manager(ESM)的衣钵。多年以来,ArcSight 用户一直受益于 ESM 在云外市场领先的实时检测功能,但很不幸的是,在这种环境中架构维护是必要的。
随着 ArcSight SaaS 实时威胁检测功能的推出,企业 SOC 团队从此可以摆脱耗时的维护工作,同时保持 ESM 用户一向所珍视的在企业范围内的威胁可见性。此外,ArcSight SaaS 还提供了增强的报告和案例管理功能,并为未来进一步增强 SIEM 能力开启了新世界的大门。
#3
ArcSight SaaS SOAR
OpenTextTM Security Orchestration, Automation, and Response(SOAR)是现代安全分析的重要组成之一。它使企业能迅速、一致应对威胁,这对高效的安全操作至关重要,因为它可以减少误报,自动化响应,并促进团队协作。
自 2020 年推出 ArcSight SOAR(云外环境)以来,ArcSight 已经将 SOAR 作为一个补充性的本地解决方案向用户推出。而在 2022 年 12 月,ArcSight 将其 SOAR 能力带到了 SaaS 世界,以作为 ArcSight SaaS 平台的原生组件之一。ArcSight SOAR 拥有“开箱即用”的操作手册,以及 120 多个集成插件,可以有效地自动协调分流、调查并响应需求。它提供可视化的工作流程、详细的关键绩效指标报告以及详细的事件时间流,以促进协作效率进一步提升。
▲ ArcSight SOAR 报告和仪表盘
SOAR 通过与实时威胁检测紧密结合,可管理并自动响应 OpenTextTM ArcSight SaaS 平台的所有事件。它还可以通过实时的威胁检测,优先处理风险最高的威胁,自动响应并协调团队以应对这些威胁。这有助于提高运营效率,同时缩减威胁的暴露面。
#4
ArcSight 更新一览表
ArcSight 2023.1 主要包括以下版本更新
▼
ArcSight SIEM 即服务 (SaaS)
OpenTextTM ArcSight平台 23.1
OpenTextTM ArcSight ESM 7.6.4
OpenTextTM ArcSight Intelligence 6.4.4
OpenTextTM ArcSight Recon 1.5.1
ArcSight SOAR 3.5
OpenTextTM ArcSight GTAP 2.0
OpenTextTM Transformation Hub 3.7
OpenTextTM ArcSight Management Center 3.2
OpenTextTM ArcSight SmartConnectors 8.4.1
OpenTextTM ArcSight Logger 7.2.2
ArcSight 2023.1 更新的主要功能如下
▼
#4
ArcSight SIEM 即服务(SaaS)
# 实时威胁检测
- 利用 ArcSight 市场领先的威胁关联技术,提醒分析人员注意与威胁相关的事件,以简化实时威胁检测流程;
- 通过动态风险评分和优先级排序,让您的分析师首先关注风险最高的威胁,减少误报与警报噪音;
- 通过 ArcSight SaaS 核心平台的原生 SOAR 功能,提升自动响应、手册指导、SOC 分析等工作效率;
- 通过 SOAR 集成进行高级案例管理;
- 提供有 100 多个预建及可定制报告和仪表板的增强报告,有助于安全状况可视化;
- 搭载高效的合规性模块,减轻您的合规性团队在应对监管要求方面的负担;
- 提供威胁检测与捕获功能,扩展实时威胁检测的范围,并补充解决方案核心的实时检测功能。
# SOAR
- 在ArcSight“SIEM 即服务”(SaaS)基础平台中引入 SOAR 功能,使每个 ArcSight SaaS 客户都能享受到自动分流、调查和响应的好处,而无需额外的许可或费用;
- 新的集成插件主要集中于以下三大领域:
端点保护/EDRs - Microsoft Defender for Endpoints、CrowdStrike
威胁情报数据库 - CyberRes Galaxy、FraudGuard、Intezer
云服务 - AWS 网络 FW、Azure 安全组、AWS Lambda
- 与 Microsoft Teams 和 Slack 集成,支持 ChatOps,并将非 SOC 组织单位和终端用户纳入调查和响应活动中;
- 提供生产力和事件负载的仪表盘部件,实现分析团队的工作负荷和性能状态的透明可见;
- 即将推出与 SentinelOne EDR、Microsoft Defender for Cloud Apps、BMC Helix Remedyforce、Sailpoint、Domaintools、Netskope 和 Cisco Umbrella 的其他集成。
# 日志和合规性管理
- 反篡改的事件存储功能,从数据源接收事件的即刻,强制执行其不可更改性;
- 新增搜索操作符如“wheresql”,为复杂的搜索提供强大的威胁猎取能力;允许将多个搜索运算符链接至单一查询中,而非必要实施单独查询来构建复杂的查询语句;
- 增强了搜索功能,为分析人员提供更多数据查看选项,如线性或对数比例等;并通过柱状图条深入解释事件匹配关系,包括选择事件、打开事件检查器等;
- 新增搜索主页选项卡,提供了搜索活动的高级视图,以及所有会话(并非保存的)的搜索列表,包括显示已保存的搜索查询、搜索标准、搜索结果、字段集及查找列表状态的部件信息等;
- 新增数据处理的监控仪表盘,内置指标如数据库事件摄取的时间流,对监测事件导入数据库的效率有帮助。
# 行为分析
- 优化数据摄取功能;
- 更新安全功能,以解决潜在漏洞;
- 一般错误修复。
# ArcSight GTAP Basic 2.0 (2022 年 11 月发布)
- ArcSight 客户无需支付额外费用,可获得覆盖基本水平的威胁情报内容;
- 即插即用的 SmartConnector,轻松使用威胁情报;
- 提供 SOAR 自动响应,这意味着在实施威胁情报后可减少分析员工作量。
# ArcSight GTAP+ 2.0 (2022 年 11 月发布)
- 提供由 OpenText Galaxy 团队专门策划的高级威胁情报,帮助您通过具体信息作出更明智的决策;
- 丰富威胁情报,包括 30+ 字段,以在推送中提供针对特定威胁的细化背景;
- 提供自动阻断高置信度的 IoCs 以大大减少分析师工作,并提供实时覆盖功能;
- 提供即插即用的 SmartConnector,帮助您轻松开始使用威胁情报功能;
- 提供 SOAR 自动响应,这意味着在实施威胁情报后可减少分析员工作量。
#5
ArcSight 平台(内部/云下环境)
# ArcSight ESM 7.6.4
- Java、SQL、Kafka 和操作系统消费级更新;
- 提升稳定性、安全性和性能;
- 一般错误修复。
# ArcSight Intelligence 6.4.4
- 增强安全性;
- 一般错误修复。
# ArcSight Recon 1.5.1
- 反篡改的事件存储功能,从数据源接收事件的即刻,强制执行其不可更改性;
- 新增搜索操作符如“wheresql”,为复杂的搜索提供强大的威胁猎取能力;允许将多个搜索运算符链接至单一查询中,而非必要实施单独查询来构建复杂的查询语句;
- 增强了搜索功能,为分析人员提供更多数据查看选项,如线性或对数比例等;并通过柱状图条深入解释事件匹配关系,包括选择事件、打开事件检查器等;
- 新增搜索主页选项卡,提供了搜索活动的高级视图,以及所有会话(并非保存的)的搜索列表,包括显示已保存的搜索查询、搜索标准、搜索结果、字段集及查找列表状态的部件信息等;
- 新增数据处理的监控仪表盘,内置指标如数据库事件摄取的时间流,对监测事件导入数据库的效率有帮助。
# ArcSight SOAR 3.5
- 针对 SOAR 的新集成插件:
CyberRes Galaxy 威胁加速器插件,用于从 OpenText Galaxy 威胁情报数据库中获取补充 IP 地址、域、文件和 URL 的信息;
新增 Microsoft Defender for Endpoint 插件,用于防御攻击,将设备与网络隔离,并搜索和管理 Defender 警报;
新增 CrowdStrike Falcon Integration 插件,用于搜索整个网络中的 IOC,并将可疑端点从网络中隔离出来;
新增 AWS 网络防火墙插件作为威胁响应的一部分,用于管理 AWS 网络防火墙策略和规则;
新增 Azure 网络安全组插件作为威胁响应的一部分,用于管理 Azure 网络安全组和规则;
新增 Intezer 恶意软件分析插件,用于分析 Intezer 恶意软件分析服务上的可疑文件;
新增 FraudGuard 插件,用于管理自定义黑名单和白名单,并从 FraudGuard.io 查询信誉得分;
新增 AWS Lambda 集成插件,用于在客户云环境中调用 Lambda 函数;
- 优化了 Okta、Azure Active Directory 和 McAfee Web Gateway 集成插件,提升设备相关的丰富性和行动、权限列表、小组任务和版本的兼容性;
- 提供生产力和案例负载仪表盘部件,实现围绕分析师团队的工作负载和性能的可见性。
# ArcSight GTAP Basic 2.0 和 GTAP+ 2.0
(2022 年 11 月发布)
- 请参阅 ArcSight“SIEM 即服务”的 GTAP 说明。
# ArcSight Transformation Hub 3.7
- - 性能改进和提高。
# ArcSight ESM 3.2
- 性能改进和小的 bug 修复。
# ArcSight SmartConnectors 8.4.1
- 性能改进和小的 bug 修复。
# ArcSight Logger 7.2.2
- 维护版本,解决安全漏洞和其他问题;
- 与前一版本相比,导出搜索事件的速率提升了 8.42 倍;
- 现在,时间同步是由 NTP 而非 Chrony 处理的。这项改进之前是作为独立补丁发布的,现在已经全面集成到既有产品中;
- 即将推出 Logger 7.3,专注于安全漏洞修复、OBC 更新和库更新。
# ArcSight ESM 7.6.4
- Java、SQL、Kafka 和操作系统消费级更新;
- 提升稳定性、安全性和性能;
- 一般错误修复。
#5
检查一下,
您的 ArcSight 是最新版本吗?
如果您有任何升级需求或疑问,可通过以下方式直接与官方销售联系,我们将竭诚为您服务。
联系官方,获取更多信息
详询电话 & 邮件 ⇲
☎️ ⎪ 021-80383010
📧 ⎪ china.sales@microfocus.com
ArcSight Intelligence
扫码试用 ⇲
关于我们
OpenText 已完成对 Micro Focus 的收购。我们非常期待今后能为客户带来更丰富的产品和服务,为不断增长的数字化需求和智能化工作提供支持。目前,我们拥有 25,000 名专家,能够为服务客户及推动创新提供不竭动力。
Micro Focus 将为 OpenText 带来关键技术,其中包括全新的 AI 与分析、应用开发与交付、应用现代化,以及数字运营管理。这些新技术能够为 OpenText 提供强而有力的支持,巩固其在内容服务、商业网络、数字体验和网络安全领域的市场领先地位。
通过整合两家公司的综合能力,我们能够帮助客户取得信息优势,加快数字化转型历程。整合后的新公司将聚焦未来业务发展,实现以人为本、兼容并蓄的可持续增长。我们还通过整合信息和自动化来加速处理复杂难题,让任何规模的企业都能利用新的数字结构、新的规则,以及新的工作方式实现重塑。许多享誉全球的公司全都仰赖 OpenText,并且十分认可我们在提供智能工作方式方面的专业知识。OpenText 不仅能够发挥信息的强大作用,而且非常重视信息保护,让组织和个人都能发挥出最大潜力。
