Overview
Il Correlation Module ha la capacità di eseguire la correlazione delle informazioni recuperate da eventi e log.
Il Correlation Module viene fornito come una macchina virtuale.
Correlation Module
Il modulo consente di gestire eventi e log generati dagli altri moduli di Agger.
Come funziona
Tutti gli eventi generati dai Moduli Agger, così come da qualsiasi altra fonte di log come Firewall, IDS/IPS, dispositivi di rete, Domain Controller, Applicazioni, ecc. possono essere gestiti dal Correlation Module di Agger.
Questo modulo raccoglie, filtra e analizza tutti gli eventi e log ricevuti, generando allarmi che il server Agger utilizza per generare eventuali reazioni e che può eventualmente inviare anche ad un SIEM esterno di secondo livello.
Gestione
Tutti i log e gli eventi raccolti dal CM possono essere analizzati attraverso una moderna console grafica che consente di creare dashboard e report personalizzati.
I Vantaggi
CORRELATION MODULE
01.
Infrastruttura di comunicazione sicura progettata per poter operare su reti pubbliche come Internet.
02.
Gestione tramite il server centralizzato.
03.
Integrabile con SIEM esterno.
Caratteristiche
- Eventi, file, log del sistema operativo e delle applicazioni dagli Agent.
- Eventi, file, log di Netflow dalle Sonde.
- Eventi e log da dispositivi di sicurezza di terze parti.
- IOC e informazioni sui pattern di attacco da Sorgenti di Intelligence.
- Analisi a livello globale di tutti gli eventi ricevuti.
- Repository centralizzato di eventi e log, normalizzazione, filtraggio, archiviazione e correlazione tramite SIEM.
- Invio agli agent e alle sonde di informazioni di intelligence sulle minacce da terze parti.
- Generazione di pacchetti con reset flag TCP.
- Orchestrazione “Push” e “Pull” di dispositivi di terze parti tramite API o SNMP completamente programmabile (LUA).
- Reazione attraverso Agger Endpoint Detection and Response.
