开放网络检测和响应(NDR)领域的领导者Corelight今天宣布推出Corelight Investigator，这是一种基于SaaS的解决方案，可将开源驱动的网络证据的力量扩展到各地的SOC团队。Investigator 提供高级功能，可在易于部署和使用的快速、直观的平台中将网络和云活动转换为证据。

基于从Zeek开源社区中精明的防御者那里学到的见解，Corelight Investigator不仅提供高级分析和对最佳网络证据的开放访问，而且还能够针对每个环境进行自定义证据丰富。借助 Corelight Investigator，安全团队可以通过映射 MITRE ATT&CK® 框架中的威胁活动来快速加速威胁搜寻和调查，并通过智能警报评分减少警报量。

“我们相信证据是任何组织网络安全的核心，”Corelight首席执行官Brian Dye说。“我们有幸与能够负担得起数据湖架构的关键基础设施的捍卫者以及内部分析团队合作，以执行其证据驱动的网络战略。Corelight Investigator将这些精英防御者的设计模式与Zeek的强大功能相结合，将高级分析和威胁追踪功能与Zeek的强大功能相结合，Zeek是网络证据的行业事实标准。

通过更高水平的分析

实现全面的网络可视性Corelight Investigator带来了网络的完整可见性，无论是在内部还是在云中，其证据跨越数月和数年，而不是数天和数周。客户可以利用映射到MITRE ATT&CK框架的机器学习、行为分析、威胁情报和特征码，实现以网络为中心的威胁的广泛覆盖。

此证据可导致专门的检测，并启用高级、持久性和个性化攻击所需的威胁搜寻。此外，它还支持自定义扩充网络证据(例如资产信息、漏洞或每个资产上下文)，并通过自定义警报、查询和仪表板链接威胁搜寻和事件响应。

“与竞争性的'封闭式'解决方案不同，Corelight Investigator为SaaS NDR市场带来了新的开放性，使客户能够充分理解基于机器学习的检测背后的逻辑，并将这些警报与他们现有的工具自由集成，以实现最广泛的覆盖范围，”Corelight产品高级副总裁Clint Sand说。

由开源和新的研究

提供支持“除了Corelight Labs提供的高级分析外，Corelight Investigator的另一个优势是它能够利用开源Zeek和Suricata社区的分析能力。这提供了广泛的威胁覆盖范围，包括快速的零日响应能力，“Corelight的联合创始人兼首席科学家Vern Paxson说。“Zeek的开源特性有助于我们阐明检测发生的原因，以及有关其周围环境的丰富信息。

Corelight Investigator 客户可以访问丰富详细、相互关联的 Zeek 日志，包括访问 DNS 响应、文件哈希、SSL 以及 Corelight Labs 创建的日志 - 后者使用 SaaS 速度的跨客户可见性，不断为不断变化的威胁和漏洞创建新的分析，以调查这些警报并启用威胁搜寻。

ESG 高级分析师 John Grady 表示：“随着攻击的不断发展和复杂程度不断提高，安全团队需要 NDR 解决方案，这些解决方案不仅能提供及时准确的检测，还能提供支持上下文，以便快速有效地做出响应。“Corelight满足了这些要求，从其数十年的开源Zeek传统中带来了丰富的网络证据，并结合了来自一系列推理的新颖分析，使其成为该领域的强大竞争者。

密苏里大学通过 Corelight Investigator

提高网络可视性对于许多组织而言，不可能配备一个完整的安全或开发团队来专门解析庞大的网络流量。对于密苏里大学的研究和支持服务团队来说，情况确实如此，他们需要一种解决方案，可以提供完整的网络可见性，而无需管理开销和竞争解决方案通常需要的其他微调。

“我们是一所大型大学，我们需要拥有完整的网络可见性，”密苏里大学安全分析师Aaron Scantlin说。“设置起来很简单，这意味着我的其余时间都花在了高级分析和其他工作上。

此外，Corelight Investigator 可以快速识别网络上的威胁，以便团队可以立即采取行动，并提供对原始数据的访问以进行进一步调查。

“Corelight Investigator 摄取事件，以便我们可以快速查询它们，”Scantlin 说。“它通过提供对我们需要采取行动的事件的即时访问来改善我们的安全状况。

定价和供货情况

Corelight Investigator加入Corelight Sensor产品组合，并将于6月正式上市。