产品亮点 

虽然机器学习和高级分析技术已经面世， 但安全调查的各个步骤仍严重依赖于安全 分析师的经验以及识别威胁并做出合理决 策的能力。虽然对技术人才的需求持续增 长，但根据美国劳工统计局统计，2015 年 仅美国国内的网络安全职位空缺就超过 209,000 个，并且在 2010 年到 2015 年间， 网络安全工作的公开招聘数目增长了 74%。 为应对长期的技能与人才短缺问题，各大 组织已经不仅仅局限于寻求传统的安全工 具，他们纷纷开始投资新的技术，希望提 升整个安全操作流程的速度、简单性和分析功能。

ArcSight Investigate 构建于新型高级分析平 台之上，是新一代探寻与调查解决方案， 可针对安全团队不断变化的需求提供相应 的服务。它能以近乎实时的速度处理大量 数据，有助于探寻和消除未知威胁。安全 分析师可借助直观的解决方案，快速准确 地调查优先级更高的威胁。ArcSight Investigate 还能充分运用数据池，通过在大 数据中获取见解来实现确实的价值。

功能和优势 

通过即时识别威胁快速采取措施 

ArcSight Investigate 充分利用了 Vertica 这款 高性能分析平台的功能，为调查流程带来 无与伦比的分析优势。Vertica 的列式数据库响应查询的速度远高于传统行式数据库， 并可处理 EB 级的分析工作。通过嵌入该新 型技术，ArcSight Investigate 能够以比其他 调查工具快 10 倍的速度执行搜索，几秒钟 之内即可返回数月乃至几年的数据结果。 ArcSight Investigate 可在无需编写查询的情 况下帮助分析师找出受到安全事件影响的 用户。能够大规模提出问题，令安全分析 师得以摆脱时间周期或搜索结果规模的限 制，从而充分把握数据探索机会。 

借助指导性体验以更聪明的方式开展工作 ArcSight Investigate 提供了一个直观的搜索 界面，该界面能够理解安全上下文中的搜 索词语并为相关查询提供动态建议。用户 只需从建议中进行选择或单击下拉菜单， 即可轻松地构建或修改查询。ArcSight Investigate 2.0 版本引入了预定义可视化， 该功能可为分析师提供全面、现成的可视 化见解，以及根据需求进行编辑和工具改 进的能力。通过直接与 ArcSight Enterprise Security Manager (ESM) 集成，ArcSight Investigate 得以从 ArcSight Enterprise Service Manager 填充自动查询，从而可以快速启动调查。从第一天开始， 初级安全分析师就可以创建查询，而无需 学习复杂的查询语言或专用架构。通过智 能建议，高级用户可节省编写复杂查询脚 本的时间。

成功获取搜索结果之后，从数百万个事件 中筛选出用于调查的事件就变成了另一项 复杂而又耗时的挑战。ArcSight Investigate提供轻松的数据交互功能，可让用户在无 需运行查询或将数据导出至其他分析工具 的前提下，对数据进行导航、汇总和可视 化处理。预定义图表类型有助于快速对数 据进行可视化处理，进而识别事件之间的 模式、异常和关系。只需保存图表或添加 可视化内容，即可为安全分析师创建自定 义仪表板，使其能够总览关键指标并持续 监控进行中的调查。

深入探寻，发现隐藏的未知威胁

各种非结构化数据存储不仅会延迟调查流 程，而且会限制对连接重复模式或多阶段 攻击的检测能力。通过与 ArcSight Data Platform 进行集成，ArcSight Investigate 能 够从不同来源对安全数据进行标准化处理和 分类，从而助力安全团队构建适用于数据探 索的单一结构化数据池。内置于 ArcSight Investigate 的强大分析功能可从大数据中获 取有意义的见解，用以发现隐藏的威胁。 在许多组织当中，长期存储于 Hadoop 中 的数据通常会因耗时冗长的用户体验而无 法充分应用于安全调查。通过 ArcSightInvestigate 的集成式用户界面访问存储于 Hadoop 中的历史事件，消除阻力并提供无 缝视图，从而可以搜索和分析任意时间范 围内的数据。

提高安全操作的速度、简便性和有效性

通过提供极为迅速的搜索结果，ArcSight Investigate 缩短了安全突发事件的响应时间， 从而让安全分析师能以大量的实验作为依 据，凭借他们直觉探寻未知威胁。将所有 结构化数据集中到一处进行分析不仅能加 快调查速度，而且能改善从数据中获取的 信息质量。最重要的是，ArcSight Investigate 可利用其直观式搜索界面和内置 分析功能来简化手动任务。这就降低了安全分析师在专业知识和培训方面的要求，有 助于他们合理安排自己的时间，提高各自 的工作效率。