網(wǎng)絡(luò)安全威脅每天都在變得越來越復(fù)雜和高級(jí)，因?yàn)樵S多組織都在與這些威脅作斗爭，這是每天的戰(zhàn)斗。簡而言之，安全性信息和事件管理SIEM是SOC匯總和關(guān)聯(lián)來自網(wǎng)絡(luò)和IT環(huán)境的信息以提供報(bào)告、儀表板、監(jiān)視列表、警報(bào)等的重要工具集，以快速調(diào)查安全威脅。SIEM從數(shù)字基礎(chǔ)設(shè)施的多個(gè)來源收集的數(shù)據(jù)量巨大，而這些大量數(shù)據(jù)的相關(guān)性并不總是微不足道的。因此，重要的是將相關(guān)的（最好是優(yōu)化的）數(shù)據(jù)發(fā)送到SIEM工具，以便將最準(zhǔn)確的數(shù)據(jù)反映給SOC中的安全分析人員，包括通過高級(jí)SOAR（安全編排，自動(dòng)化和響應(yīng)）進(jìn)行數(shù)據(jù)湖處理的效率。Niagara Networks Packer Brokers與Open Visibility Platform（智能和虛擬化）相結(jié)合，可以從網(wǎng)絡(luò)中的許多位置和不同來源收集、聚合和過濾數(shù)據(jù)，而無需考慮物理或虛擬網(wǎng)絡(luò)，并提供SIEM工具通過過濾特定的流量模式、執(zhí)行會(huì)話感知的負(fù)載平衡并減少可能導(dǎo)致SIEM工具飽和并產(chǎn)生誤報(bào)的數(shù)據(jù)包重復(fù)，使他們真正需要的數(shù)據(jù)經(jīng)過優(yōu)化。

開放可視性平臺(tái)可以托管SIEM收集器，以形成到SIEM的合并流量。收集器從網(wǎng)絡(luò)收集信息，并將其轉(zhuǎn)發(fā)到主要的SIEM平臺(tái)進(jìn)行處理和關(guān)聯(lián)。Niagara Networks可以通過在單個(gè)站點(diǎn)中的開放可視性平臺(tái)中托管收集器來增強(qiáng)此功能，從而提高性能，減少帶寬使用量并降低總成本。

●SIEM智能訪問數(shù)據(jù)流——可以過濾80％以上的數(shù)據(jù)，以最大程度地提高工具效率和規(guī)模

●通過物理或虛擬TAP以及智能過濾/聚合從本地或云中準(zhǔn)確地獲取數(shù)據(jù)

●網(wǎng)絡(luò)架構(gòu)簡單性，可在SecOps的所有層提供深入可視性

●與業(yè)界領(lǐng)先的SIEM平臺(tái)經(jīng)過現(xiàn)場驗(yàn)證的互操作性

1 完整的網(wǎng)絡(luò)可視性

物理TAP，具有TAP功能的bypass交換機(jī)的結(jié)合，虛擬TAP可以在物理和虛擬網(wǎng)絡(luò)環(huán)境中提供全面的可視性，但是它經(jīng)常會(huì)引入一定數(shù)量的重復(fù)數(shù)據(jù)包，這不僅增加了從網(wǎng)絡(luò)捕獲的數(shù)據(jù)量，而且還會(huì)破壞SIEM工具的正確行為。重復(fù)數(shù)據(jù)刪除是開放可視性情報(bào)功能的一部分，可消除重復(fù)的網(wǎng)絡(luò)流量，并優(yōu)化連接SIEM工具的帶寬。

2 

應(yīng)用意識(shí)

應(yīng)用程序?qū)舆^濾（也稱為第7層過濾）是優(yōu)化發(fā)送到SIEM工具的數(shù)據(jù)的另一種方法，通過刪除不需要檢查的應(yīng)用程序（視頻、IPTV等），或精確選擇要通過特定SIEM工具檢查流量的目標(biāo)應(yīng)用程序。

3 

優(yōu)化工具

許多SIEM工具都是基于對(duì)數(shù)據(jù)包的元數(shù)據(jù)，源IP地址和目標(biāo)IP地址以及TCP / UDP端口的檢查。在檢查和報(bào)告過程中不會(huì)使用實(shí)際的有效負(fù)載。但是，此有效負(fù)載可能占用多達(dá)95％的數(shù)據(jù)包。通過從數(shù)據(jù)包中刪除有效負(fù)載（也稱為數(shù)據(jù)包切片），可以顯著減少數(shù)據(jù)包的大小，進(jìn)而減少工具的帶寬量。

4 

優(yōu)化的流量信息