AI & Big Data 07月06日
Graylog持續強化事件管理,增設資料湖預覽與掌握敵情的防禦
index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html

 

文章介绍了Graylog作为一款开源软件,如何帮助预算有限的中小企业构建事件管理系统(LMS)、安全信息与事件管理系统(SIEM)和资安维运中心(SOC)。Graylog提供多种解决方案,包括免费的Graylog Open,以及企业版、安全版和全代管的SaaS服务Graylog Cloud,以及API安全解决方案Graylog API Security。文章还提到了Graylog的更新和功能,例如6.2版中的数据湖和“掌握敌情而成的防御机制”,以及API安全方面的应用,并提供了Graylog的代理商、价格、操作系统和系统基础元件等产品信息。

💡Graylog Open: 免费开源版本,提供事件记录集中管理功能,支持跨多种IT环境的数据收集、解析和分析。

🛡️Graylog Enterprise: 在Graylog Open基础上,提供交互关联、归档、多人协作、统计报表等进阶功能,并整合云服务和应用程序。

🚀Graylog Security: 强化资安团队所需功能,用于威胁检测、调查和应变工作。

🔍Graylog Illuminate: 易用的内容套件,提供60种预设处理流程、解析规则和查询表,协助Graylog Enterprise与Graylog Security充实和规范化数据内容。

💻Graylog API Security: 通过监控API流量,检测攻击和数据泄露行为,该产品源自2023年收购Resurface,并于2024年2月发布免费版。

受限於本身的財力,小型機構或中小企業若想建置專業等級的事件管理系統(LMS)、安全資訊與事件管理系統(SIEM),甚至資安維運中心(SOC),可能會考慮開放原始碼的軟體,而在這個領域當中,較受歡迎的產品,有ELK stack(囊括Elasticsearch、Logstash、Kibana)、OpenSearch、Wazuh、Graylog,而在2024年臺灣資安大會,剛好有講者以免費版本的Graylog為題,介紹他藉此打造資安戰情中心的經驗。

Graylog目前有幾家廠商在臺灣推廣,一家是節省工具箱提供商業版本的服務,另一家是代理多種IT管理系統與資安系統品牌的廠商台灣二版,去年開始宣傳Graylog最新動態。

事件管理系統是主力產品,以開放原始碼版本為核心,延伸提供進階功能的企業版,以及著重資安功能的安全版

Graylog提供多種形式的解決方案,長期發展的事件管理系統是最廣為人知的產品。

首先是以免費使用、開放原始碼聞名的Graylog Open,提供事件記錄集中管理功能,能夠橫跨多種IT環境執行資料的收集、解析、充實、分析;接著是基於Graylog Open、提供更多進階功能的Graylog Enterprise,具備交互關連(Correlation)、歸檔(Archiving)與轉送(Forwarder)、團隊多人協作與統計報表產生,以及多種雲端服務與應用程式的整合支援。

值得注意的是,Graylog Enterprise又被稱為Graylog Operations,原因是2022年5月Graylog Enterprise更名為Graylog Operations兩年後又將名字改回Graylog Enterprise

而在Graylog Enterprise的基礎上,延伸出全代管的SaaS服務Graylog Cloud(2021年3月推出),

以及強化資安團隊所需功能的Graylog Security,能以此進行威脅的偵測、調查、應變工作(2021年10月推出)。

針對各種事件記錄資料解析能力的擴充,Graylog提供易用的內容套件(content packs),稱為Graylog Illuminate(2020年6月推出),目前提供60種,透過內建的處理流程、解析規則、查詢表,協助Graylog Enterprise與Graylog Security充實與正規化處理資料內容,更有效率地分析不同來源的記錄。

Graylog軟體改版相當頻繁,7月4日釋出6.3.1版,今年上半年發布重大更新主要是在今年4月底RSAC大會期間,他們宣布推出6.2版,當中主打幾個特色,都會在付費版本(Graylog Enterprise與Graylog Security)提供,像是:針對去年秋季改版增加的資料湖與資料路由功能,加以延伸,能在擷取資料集之前,預覽工作團隊所需的資料是否在資料湖,隨後可運用選定資料擷取(Selective Data Retrieval)功能,隨需存取小範圍的記錄資訊,可大幅減少授權耗用量。

  

6.2版另一個新功能是提供「掌握敵情而成的防禦機制(Adversary Informed Defense)」,能自動辨識多個敵對團體的攻擊戰略、伎倆與程序(TTP),執行一連串的偵測,並根據每次額外確認的偵測結果以指數的方式增加風險評分,當中不僅基於MITRE ATT&CK列出的戰略與伎倆來標記偵測,也運用真實世界的威脅活動細部資訊,以便指認自身環境存在網路攻擊活動,而且就算是分散在多天、多週、多月的個別行動,也能依此方式進行辨識。

  

跨足API防護應用,能夠監控與偵測API流量,產生攻擊警示與有問題的執行階段活動

除了上述鎖定資安事件記錄管理用途的產品,Graylog旗下還有API安全解決方案,稱為Graylog API Security,可透過擷取API流量,探查存取的API,以及這些API是由合法使用者、惡意攻擊者、合作廠商、內部人員使用的,並運用內建與自定的特徵碼,自動偵測與警示當中的互動,確認是否存在網路攻擊、資料外洩行為。

Graylog API Security的推出,源自2023年7月併購新創資安公司Resurface,2024年1月發表Graylog API Security 3.6,2月釋出免費版——僅能以單節點部署、儲存16 GB資料(容量一旦超過,將刪掉舊資料,留給新進資料)。

產品資訊

Graylog
●代理商:台灣二版
●建議售價:開放版免費,企業版每年1.5萬美元起,資安版每年1.8萬美元起,API Security版每年1.8萬美元起
●作業系統需求:Linux(Ubuntu 20.04, 22.04、RHEL 7/8/9、SUSE Linux Enterprise Server 12/15、Debian 10/11/12)、Docker
●系統基礎元件: Graylog、Data Node、MongoDB(5.0.7版至7.x版),選用OpenSearch(1.1.x版至2.15.x版)

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】

Fish AI Reader

Fish AI Reader

AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。

FishAI

FishAI

鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑

联系邮箱 441953276@qq.com

相关标签

Graylog 开源 资安 事件管理
相关文章
Meet HPT 1.5 Air: A New Open-Sourced 8B Multimodal LLM with Llama 3
Gemma: Introducing new state-of-the-art open models
Open Source Generative AI at Hugging Face with Jeff Boudier - #624
Exploring the FastAI Tooling Ecosystem with Hamel Husain - #532
【臺灣資安大會直擊】邱銘彰:資安典範正轉移,接下來10年資安產業應積極擁抱AI新科技
【臺灣資安大會現場直擊】美國資安顧問公司總裁:資安長的4大挑戰與建議
周鸿祎:留给谷歌的时间不多了,建议把所有产品都开源
腾讯副总裁蒋杰:混元文生文大模型将在三季度开源
MARKLLM: An Open-Source Toolkit for LLM Watermarking
Hugging Face Releases LeRobot: An Open-Source Machine Learning (ML) Model Created for Robotics