云端SIEM(安全信息和事件管理)专家Logpresso(代表:杨奉烈) 21日宣布,已注册“利用插件扩展综合安全控制系统的数据收集和威胁检测功能的方法”技术专利。
该专利是一种将日志规范化和威胁检测规则以插件形式嵌入到每个应用程序中并进行分发的技术。安装应用程序后,用户只需添加日志收集设置,检测规则就会自动应用,创建单元事件并执行基于资产和用户的关联分析。该公司解释说,这将能够以更高的准确度实现威胁检测功能。
该技术不仅提升了操作便捷性,还能帮助识别目前已引入的安全产品能够检测哪些攻击技术(MITRE ATT&CK TTP)。这有助于安全人员识别检测能力的差距,并快速确定是否需要引入必要的安全产品。此外,从安全解决方案提供商的角度来看,该技术也为向 Logpresso 客户推荐基于 TTP 的增强型检测能力奠定了基础。
Logpresso 指出,包括金融行业在内的各行各业正在使用 80 多种安全产品,需要一种以可扩展性和自动化为中心的方法来克服现有 SIEM 系统的局限性。传统的 SIEM 在日志解析和检测规则设置等许多流程中依赖于人工,而 Logpresso 追求开放的 XDR(扩展检测和响应)模型,专注于实现原生 XDR 级别的自动化,同时以插件的形式提供检测和响应功能。
Logpresso 首席执行官杨奉烈解释道:“随着安全环境的多样化,单一格式的检测规则很难有效识别威胁。” 他补充道:“这项专利是实现自动化威胁检测和以资产为中心的关联分析的技术基础,同时能够灵活应对各种安全产品和日志格式。”
- 查看更多相关文章
You must be logged in to post a comment.