在时间紧迫的情况下，Micro Focus® ArcSight Enterprise Security Manager 能够快速对大规 模网络安全威胁进行直观地检测、识别、 响应和分类。ArcSight Enterprise Security Manager (ESM) 有助于检测和响应内部及外 部威胁，将响应时间从数小时或数天缩短 至几分钟，并可让您在不增加人手的前提 下，通过简捷的 SOC 工作流程应对多出 10 倍的威胁。

ArcSight ESM 是一套功能强大、可扩展 的高效 SIEM 解决方案 ArcSight Enterprise Security Manager 是一套 可以执行实时威胁检测、分析、工作流程和合规管理的综合性平台，具备数据丰富功 能。ArcSight 可实时检测网络安全威胁并对 其进行分析，这有助于安全运维团队对入 侵迹象快速做出响应。通过自动识别并对 威胁进行优先级排序，各团队能够避免因 误报而造成的成本、复杂性及额外工作。 ESM 能够让安全运维组织集中、直观地应 对多个环境，通过打造高效的工作流程来 精简各个流程。通过改善检测、实时关联 以及工作流程自动化，SOC 团队得以快速准 确地解决各类突发事件。 

借助 ArcSight ESM，您可以：

• 实时监控您的企业系统和基础设施，找出潜在安全问题 

• 在几分钟之内准确识别数千种威胁及其 变体，从而在重要系统受到影响之前消除攻击 

• 了解事件上下文的增强信息与详细信息， 做出周全的安全决策

• 简化安全运维中心的过程与工作流程，缩短消除安全威胁所需的时间，提高工作效率 

• 在几分钟内执行内置的安全威胁规则， 从而保护您的企业组织 

• 适应持续增长的企业系统、资产和设备， 并通过完整的 IPv6 支持协助您的安全运 维团队

• 与 ArcSight Data Platform (ADP) 和 ArcSight Investigate 进行集成，构建开放、强大且直观的安全运维中心

•  加入 ArcSight 安全社区，分享安全方面的见解和知识

功能和优势 ArcSight Enterprise Security Manager (ESM) 支持丰富全面的 SIEM 功能，其中包括安全状态评估、监控、警报和突发事件处理、 入侵分析和响应以及事件关联。

数据丰富

 ArcSight ESM 能够从多个来源收集事件信息， 从而获得对企业的威胁态势的完全可视。 ESM收集超过 400 种以上设备的特定信息 并进行事件丰富和增强。丰富的数据使 ESM 能够提供事件分析、分类以及直观关联，从而判定威胁等级。

分类与标准化

 分类与标准化可将收集到的原始日志转换成通用格式，以供 SIEM 产品内部使用。我 们采用了 CEF，一套由 Micro Focus 制定的 实际行业标准，它基于 30 种不同安全与网 络技术类别构建出 300 多个连接器。数据 的分类和标准化能够助您快速确定需要进 行调查或亟待采取措施的情况，从而帮助 您将注意力集中到最紧急的高风险威胁上。

内置的安全用例和规则

 ArcSight ESM 还会提供标准化模板，让您构 建自己的高级查询、关联规则以及针对您 环境的自定义报告。用户可通过 ArcSight Marketplace（一个基于 Web 的门户和社区， 用于获取 ArcSight 安全内容和 SIEM 最佳实 践）下载这些值得信任的用例。该网站会 为您这样的安全专家提供全面、及时的内 容，助您落实安全状况、快速部署 SIEM 解 决方案，以及加速实现投资回报 (ROI)。

强大的实时关联功能

 ArcSight ESM 可通过关联事件和警报来确定 环境内的高级别威胁。强大的 ESM 关联引 擎能够收集实时的事件数据关联，从而准 确地上报违反平台内规则的威胁。ESM 每 秒能够在企业内部关联高达 75,000 个事件。

工作流程自动化

 ArcSight Enterprise Security Manager 可为 SOC 团队创造一种轻松的工作方式，使其通过 ArcSight Command Center (ACC) 高效且有效 地对检测到的警报进行分类。通过流程执 行和指引，SOC 团队得以缩短平均响应时间， 并可将突发事件上报给相关工作人员，以 获取解决方案。

多租户

 ArcSight ESM 能够让分布式办公环境统一使 用一个简化的安全运维视图。借助多租户 与权限功能，企业可以采用一套集中式的 管理功能，其中包括基于规则的阈值以及 统一的角色、权限及责任列表。

快速调查和取证

 ArcSight ESM 能够让 SOC 组织利用简单的 搜索界面快速搜索 TB 量级的数据。该功能 可以借助简单的搜索界面，对活动数据及 历史数据执行“大海捞针”式的查询。这 样一来，有趣的搜索模式便可轻松转换成 为实时警报。快速调查和取证工具可助您 在恰当的时间取得正确的信息。您可以随 着情况的发展实时进行跟踪，并可通过查 询活动数据及历史数据来调查潜在的威胁。 

与 ArcSight Data Platform (ADP) 和 ArcSight Investigate 兼容 

ArcSight ESM 可与 ADP 和 Investigate 兼容， 其目的在于打造功能强大、可进行直观的 安全操作并完全集成的开放式环境。ESM 能够从多个数据源接收数据，而 ADP 的开 放式架构则可增强数据收集能力，使其更 加适用于 SOC 环境。通过将 ESM 与 ArcSight Investigate 相结合，SOC 工作人员能够以智 能的视图检测和了解企业内部的未知安全 威胁，从而更快地补救所带来的影响，或 是在这些安全威胁发生之前予以消除。

ESM 可选包

High Availability (HA) — 有状态、主动或 被动 HA 

通过 ESM 服务器提供经过优化的性能环境， 可在主系统遇到任何通信或操作问题时自 动执行故障转移功能。

Threat Central and Reputation Security Monitor — 威胁情报源

根据切实可行的威胁分析，以及基于云的 标准共享平台所提供的信誉情报来应对威胁。

Compliance Packages — 合规自动化和报告

 轻松满足一系列合规性要求，并可缓解识 别重大问题的成本与复杂性压力，从而帮 助您规避风险、为审计做好准备，同时提 高工作效率和操作效率。

Interactive Discovery — 丰富强大的可视化 与算法分析 

跨入侵检测系统 (IDS)、防火墙、应用程序 以及其他任何类型的安全数据源，以前所 未有的方式探索、关联、剖析和动态显示安全数据。

Risk Insight —企业高管视角的安全状态积分卡

 通过丰富的内置或定制化仪表板、报告、 KPI，或是通过能够显示数十亿安全事件中 的重大威胁的热图，将安全情报与业务风 险相结合。