IXTra产品简介
用户环境常常既有系统用于存储和管理海量日志数据,IXTra规则引擎是一款以 OpenSearch 或 Elasticsearch 等存储的日志数据作为数据源的、以规则为基础的事件监控和规则平台。
用户通过平台界面创建规则后,平台会按照规则设定的运行间隔时间周期性地向 OpenSearch 或 Elasticsearch 集群发起请求,匹配规则条件和阈值后规则触发。当规则触发后,可以按照规则设 定的动作自动发送邮件、创建工单等。
主要功能特性
作为InsightX重要功能扩展,IXTra亦可独立应用在用户的数据架构中,帮助企业现用日志中心等平台进行功能扩展。IXTra提供符合安全分析规则和场景,并面向众多第三方应用进行集成整合管理,如SMTP、ITSM、威胁情报等
部署灵活
- 支持本地、云端、混合多种部署方式
- 支持主流VM、Docker、公有云
- 支持API
- 多租户支持
安全规则
- 强大自由的规则编写方式
- 可灵活定义事件影响度、关键等
- 支持ATT&CK TTP
- 支持多种响应方式
扩展管理
- 支持数据源对象配置集中管理
- ITSM集成
- SMTP集成
- TI威胁情报集成
常用功能示例
多集群互联
可灵活的通过连接器与现有日志集群、ITSM和SMTP进行互联,并可以连接多组数据集群和对象
规则定义
通过高度可视的规则创建指引定义规则,可以自定义名称、描述、影响程度、紧急程度、ATT&CK 战术和技术、处理建议等;同时可以通灵活的查询和检索方式进行复合规则编写
多渠道响应
可定义多种响应动作如自动工单、聚合式邮件告警、自动查询情报等等,包括分析师大幅提升效率和自动化能力。