什麼是 SIEM 以及它為何重要：Dope.Security 推出新的 SIEM 集成

統一威脅可視性：dope.security 推出直接 SIEM 整合功能

在網絡安全領域，掌握情境脈絡至關重要。一個資安訊息與事件管理（SIEM）解決方案，如同您資安維運的中央樞紐，負責從您的整體基礎架構中收集事件日誌。透過關聯分析這些資料，SIEM 能賦予資安團隊偵測威脅、簡化事故應變及維持合規性的能力。

然而，一個 SIEM 的強大程度，取決於它所接收的資料品質。這正是我們為何如此興奮地宣布，我們將大幅擴展整合能力，讓您能比以往更輕易地將來自 dope.security 的高保真度網絡安全資料，直接饋送至您現有的生態系統中。

隆重推出直接 HTTP SIEM 整合功能

到目前為止，要將 dope.security 與 SIEM 整合，都需要設定一個 AWS S3 儲存桶。為了簡化並加速此流程，我們推出了直接 HTTP 整合功能。這種新方法能與業界領先的 SIEM 及安全分析平台，建立無縫的 API 式連接。

此次更新讓我們的客戶能夠將即時的、端點層級的網絡安全資料，直接傳送到他們的資安維運中心（SOC），從而豐富其整體的威脅可視性。

我們現在為以下平台提供原生的 HTTP 支援：

• CrowdStrike
• Splunk
• Microsoft Sentinel
• IBM QRadar
• Taegis

為何此項整合至關重要：端點情境脈絡的力量

透過將 dope.security 基於端點的安全網絡閘道（SWG）所提供的精細可視性，與 SIEM 的關聯分析引擎相結合，資安團隊將能夠：

• 豐富威脅偵測能力：將基於網絡的威脅（如釣魚連結、惡意軟件下載）與來自 EDR 和防火牆等其他來源的警示進行關聯分析，以獲得攻擊的全貌。
• 加速事故應變：無需在不同主控台之間切換。分析師可以直接在其 SIEM 內部調查可疑的網絡活動、追蹤使用者行為並進行深入分析。
• 強化主動式安全：分析網絡流量、政策違規和影子 IT 使用的趨勢，以便在漏洞被利用前提早識別並解決安全缺口。

為您的 SIEM 進行簡易設定

設定過程非常直接。在 dope.console 中，導覽至 Settings ➔ SIEM ➔ SIEM Integration Settings，並選擇 HTTP 選項。接著，從下拉式選單中選擇您的 SIEM 平台並提供所需的憑證。

對於 CrowdStrike：

在您的 CrowdStrike 主控台中建立一個 HEC Connector 以生成 API 金鑰和 URL。

對於 Splunk：

使用來自您 Splunk HTTP 事件收集器 (HEC) 的 API 金鑰和 URI。

對於 Taegis：

提供來自您 Taegis HTTP Ingest 設定的整合 URL 和金鑰。

對於 Microsoft Sentinel：

使用來自您 Azure Monitor Logs Ingestion API 的憑證，包括 Client ID、Tenant ID、DCE 和 DCR 資訊。

對於 IBM QRadar：

使用來自您 QRadar HTTP Receiver 協議的整合 URL 和金鑰。

從資訊孤島到協同效應

此次發布打破了端點網絡安全與您的中央安全分析之間的資訊孤島。透過將 dope.security 直接整合至您的 SIEM，您可以將原始的安全資料轉化為可操作的情報，賦予您的團隊從被動警示轉向主動防禦的能力。