ArcSight SIEM 資安監控與威脅偵測 — 產品說明

ArcSight 企業級 SIEM — 台灣金融資安的首選平台

ArcSight（現為 OpenText Security 旗下品牌）是全球 SIEM（安全資訊與事件管理）市場中歷史最悠久、技術最成熟的平台之一，在台灣金融業已深耕超過十五年，目前 ArcSight 在台灣金融機構 SIEM 市場仍維持七成以上的市占率。頤合資訊（InfoArchi）是台灣深耕 ArcSight 多年的專業服務夥伴，累積了深厚的金融業導入與維運經驗，是眾多金融機構在 ArcSight 上的信賴顧問。

台灣金融業為何持續選擇 ArcSight

在台灣，銀行、保險、證券等金融機構面臨金管會資安評鑑（金檢）、內稽內控查核以及個資法、資安法等多重法規壓力。ArcSight 以高度成熟的關聯分析引擎與完整的稽核日誌管理，成為金融機構因應主管機關查核、快速提交合規報告的核心工具。

• 快速因應金檢與稽核要求：ArcSight 內建金融監理相關的合規報告範本，可在金檢前快速匯出符合主管機關要求的存取日誌、異常事件報告及稽核軌跡，大幅降低金融機構配合查核的人力成本與時間壓力
• ArcSight 台灣金融市占率逎七成：台灣主要銀行、壽險公司、金控集團長期使用 ArcSight，龐大的本地客戶基礎形成技術社群與最佳實踐知識庫，使新導入機構得以快速複製成功經驗
• 頤合資訊 — 台灣最早且最資深的 ArcSight 服務商：頤合資訊是台灣深耕 ArcSight 最久的合作夥伴之一，多年來累積了豐富的金融業服務案例與技術深度。我們的顧問團隊具備從需求分析、架構設計、關聯規則開發到日常維運的全方位能力，是金融機構 ArcSight 生命週期管理的最佳夥伴

一、ArcSight ESM — 企業級即時威脅關聯分析引擎

ArcSight Enterprise Security Manager（ESM）是平台的核心，採用專利關聯規則引擎，可每秒處理最高 75,000 個安全事件，並在毫秒級時間內觸發告警。相較於雲端原生 SIEM，ArcSight ESM 部署於企業本地端環境，確保所有敏感日誌資料不離開受控網路邊界，完全符合金融機構對資料主權與監管合規的嚴格要求。

• 高效能關聯引擎：每秒最高處理 75,000 事件，支援複雜多階段攻擊場景的即時關聯分析，在攻擊者完成橫向移動前即觸發告警
• MITRE ATT&CK 框架整合：所有內建偵測規則自動對應至 MITRE ATT&CK 戰術與技術，讓 SOC 分析師立即理解攻擊意圖，加速研判與回應
• 金融業專屬關聯規則包：針對銀行核心系統、網路銀行、ATM 監控、內部人員異常存取等金融場景，提供開箱即用的關聯規則，大幅縮短調校時間
• 本地端部署，資料主權完全掌控：日誌資料完全儲存在企業自有機房，不經過任何第三方雲端，滿足金管會及個資法對敏感金融資料的監管要求
• 動態告警優先排序：結合資產重要性、攻擊置信度與威脅情報，為每筆告警計算風險評分，讓安全分析師聚焦最高優先威脅

二、ArcSight Intelligence — 使用者與實體行為分析（UEBA）

ArcSight Intelligence 採用無監督式機器學習，為每位使用者與每台設備建立動態行為基準，偵測偏離正常模式的異常行為。在金融業，內部人員威脅（內鬼）往往造成最嚴重的資料外洩；ArcSight Intelligence 是專門偵測這類難以用規則捕捉的隱性威脅的關鍵工具。

• 內部威脅偵測：自動識別特權帳號異常存取、非上班時間大量資料下載、帳號遭竊後的橫向移動等典型內部攻擊行為
• 無監督機器學習：無需手動設定規則或閾值，系統自動學習正常行為基準，適應組織變化並持續更新模型
• 高風險使用者排序：每日產生風險評分排行，讓安全分析師優先調查最高風險的人員與設備，避免告警疲勞
• 與 ESM 深度整合：Intelligence 偵測到的異常行為直接回饋至 ESM 關聯引擎，形成規則型 + 行為型的雙重防禦機制

三、ArcSight SOAR — 安全事件自動化回應

ArcSight SOAR（Security Orchestration, Automation and Response）將安全事件回應從手動操作升級為自動化工作流程，大幅縮短從告警觸發到威脅遏制的回應時間（MTTR）。符合 FIPS 140-2 安全標準，適用於高安全等級的金融機構環境。

• 預建回應 Playbook：針對勒索軟體、網路釣魚、帳號遭竊、惡意軟體感染等常見攻擊場景，內建標準化處理流程，將 30 分鐘的手動回應縮短至 3 分鐘以內
• 20+ 生態整合：與端點防護（EDR）、網路設備、威脅情報平台、ITSM 工單系統（ServiceNow）等深度整合
• 案件管理與 SOC 協作：內建案件管理系統，支援多分析師協作調查；與 Microsoft Teams、Slack 整合支援 ChatOps，讓安全調查在對話介面中進行
• FIPS 140-2 認證：符合金融監管對加密模組的安全要求，適用於嚴格合規環境

四、ArcSight Recon — 日誌管理與威脅獵捕

ArcSight Recon 是企業級安全資料湖，提供大量日誌的長期保留、高速搜尋與威脅獵捕（Threat Hunting）能力。對於需要保留多年日誌以備金檢查核的金融機構而言，Recon 提供了兼顧合規與查詢效能的解決方案。

• 單機最高 42TB 日誌儲存：滿足金融機構對長期日誌保留的法規要求（可彈性設定 1 至 7 年以上）
• 防篡改事件存儲：所有日誌接收後立即加密封存，確保不可更改，提供司法級別的資料完整性證明，滿足金管會稽核要求
• 高速威脅獵捕查詢：支援類 SQL 的 wheresql 進階搜尋語法，讓分析師跨數十億筆日誌執行精細的威脅獵捕，快速定位可疑事件
• 互動式資料視覺化：時間序列分析、柱狀圖深入鑱取（Drill-Down）等直覺化介面，加速異常模式識別

五、金融監管合規因應

ArcSight 是金融機構因應主管機關要求的強力後盾。頤合資訊的顧問團隊深度了解台灣金融監管環境，協助客戶預先部署符合金管會要求的稽核機制，讓金檢不再是壓力，而是展現資安治理成熟度的機會。

• 金管會金融機構資安評鑑：內建符合金管會資安評鑑框架的報告範本，包含存取控制稽核、特權帳號使用記錄、異常事件統計等核心要求項目
• PCI-DSS：持卡人資料環境（CDE）存取監控，25+ 自動化 PCI 合規稽核項目，一鍵產生符合要求 10（稽核記錄）與要求 11（安全測試）的報告
• SOX 合規：財務系統存取控制稽核、職責分離驗證、異常存取告警，支援 SOX 第 302 與 404 條款的技術控制文件
• 個資法（PDPA）：個人資料存取事件追蹤、資料外洩偵測與通報，協助金融機構落實個資保護責任
• 稽核報告一鍵匯出：稽核人員來訪前，可快速匯出指定期間的完整稽核軌跡報告，大幅減少準備時間

六、頤合資訊 ArcSight 專業服務

頤合資訊是台灣 ArcSight 生態系中資歷最深、金融業服務案例最豐富的專業夥伴。我們的服務不只是產品銷售，更是客戶資安營運的長期夥伴。

• 台灣最早 ArcSight 服務商：頤合資訊自 ArcSight 進入台灣市場初期即投入，累積超過十五年的產品深度，是台灣金融業 ArcSight 實施經驗最豐富的團隊
• 最多金融業服務案例：服務客戶涵蓋銀行、壽險、產險、金控、證券等金融機構，深度了解各類金融機構的合規壓力與資安挑戰
• 關聯規則客製開發：依據客戶業務特性與監管要求，開發量身訂製的 ArcSight 關聯規則，有效降低誤報率並提升真實威脅的偵測精準度
• 金檢輔導服務：協助客戶在金管會資安評鑑前進行完整的 ArcSight 合規落差分析，確保日誌覆蓋率、告警機制與報告格式均符合主管機關要求
• 7×24 維運支援：提供 ArcSight 平台健康監控、規則調校、版本升級、效能優化等完整維運服務，確保 SIEM 持續高效運作

七、ArcSight 與台灣金融資安生態整合

ArcSight 在台灣金融業的強大生命力，來自其對本地資安生態的深度整合能力。

• 本地資安設備整合：支援台灣市場主流的防火牆、IPS/IDS、WAF、DLP、端點防護（EDR）等設備的日誌收集與關聯分析
• TWCERT/CC 威脅情報：可整合台灣電腦網路危機處理暨協調中心（TWCERT/CC）發布的本地威脅情報，提升對台灣特定威脅的偵測能力
• Smart Connector 全面覆蓋：支援 300+ 種 SmartConnector，涵蓋金融業常見的主機（AIX、HP-UX）、資料庫（Oracle、DB2）、應用系統等各類日誌來源

---

ESM 分散式關聯架構——支撐金融級事件處理量

對於每日產生數十億筆日誌的大型金融機構而言，單機 ESM 部署已無法滿足效能需求。ArcSight ESM 自 7.0 版本起支援分散式關聯模式（Distributed Correlation Mode），透過將關聯引擎水平擴展至多台伺服器，實現線性效能成長，同時提供容錯與故障轉移能力。

分層收集架構

ESM 分散式部署採用多層式事件收集架構，確保從日誌源到關聯引擎的每一環節都具備緩衝與容錯能力：

• SmartConnector 層：部署於日誌源附近，負責解析原始日誌、轉換為 CEF（Common Event Format）標準格式、進行初步過濾與事件豐富化（Enrichment），再將標準化事件向上遞送
• Logger / Transformation Hub 層：ArcSight Logger 作為事件緩衝與長期儲存層，即使上層 ESM 暫時不可用，事件仍安全留存不遺失。Transformation Hub 則是基於 Apache Kafka 的高吞吐量事件匯流排，支援多個消費者同時讀取同一份事件流
• ESM Cluster 層：由 Manager（Persistor）與多台 Correlator 組成的分散式叢集。Manager 負責持久化儲存（CORR-Engine）、規則管理與使用者介面；Correlator 負責實際的即時關聯運算。每新增一台 Correlator 即可線性提升 EPS 處理能力

水平擴展與 Backpressure 機制

在分散式模式下，多台 Correlator 分攔關聯運算負載。當某台 Correlator 接近處理上限時，ESM 的 Backpressure（背壓）機制會自動控制事件流速，避免叢集過載導致事件遺漏。管理員可在 Command Center 的 Cluster View 儀表板中即時監控每台 Correlator 的延遲狀態。

Peering 多 ESM 架構

對於跨地域部署的超大型環境（例如跨國金控集團），ArcSight 支援 Peering（對等互聯）架構——多台 ESM Manager 之間共享事件與關聯結果，讓各區域 SOC 團隊查看全域安全態勢，同時保持各區域資料本地化儲存以符合資料主權要求。

頤合的分散式 ESM 實戰經驗

分散式 ESM 架構的規劃、部署與持續調校是高度專業的工作。頤合資訊的顧問團隊在台灣金融機構的大規模 ESM 分散式環境中累積了深厚的調校與故障排除經驗，能協助客戶從架構設計、初始部署到日常維運確保系統穩定高效運行。

---

容器化部署——邁向現代化 SIEM 架構

ArcSight Platform 已全面支援基於 Kubernetes 的容器化部署模式，透過 CDF（Container Deployment Foundation） 基礎架構，將 ESM Command Center、Transformation Hub、Intelligence（UEBA）、Recon、SOAR（Fusion）等元件統一運行在容器化叢集中。

容器化帶來的關鍵轉變

• 彈性擴縮容：依據事件量動態增減 Worker Node，尖峰時段自動擴展，離峰時段回收資源，最佳化硬體投資效益
• 簡化版本升級：透過 CDF Management Portal 執行 Rolling Update，無需整機停機，大幅降低維護窗口對業務的影響
• 降低硬體綁定風險：可部署在標準化的 x86 伺服器上，降低採購成本與供應商鎖定風險
• 統一管理介面：透過 Fusion 介面統一管理 ESM、Intelligence、SOAR、Recon 等所有模組
• 與 DevSecOps 對接：容器化架構天然支援 CI/CD 流程，可將 SIEM 組態管理納入基礎架構即程式碼（IaC）的管理範疇

ArcSight Recon SaaS——雲端日誌分析入門

對於希望先以低風險方式體驗雲端 SIEM 能力的金融客戶，ArcSight Recon 提供 SaaS 雲端版本，可將部分非核心日誌送往雲端進行長期儲存與威脅獵捕分析，同時保留核心系統日誌在地端 ESM 的即時關聯能力。這種混合部署模式讓客戶能漸進式評估雲端遷移的可行性。

頤合的現代化轉型輔導

無論客戶選擇維持現有地端部署、升級至容器化架構、或採取混合模式，頤合資訊都能提供從現況評估、架構規劃、遷移執行到驗證上線的完整輔導服務，確保轉型過程中 SIEM 監控能力不中斷。

---

ArcSight 的軍規級血統與台灣深耕歷程

ArcSight 最初由美國軍方採用，後經美國在台協會引介至台灣政府單位與金融業推廣，奠定了其在台灣關鍵基礎設施領域的深厚根基。自民國 94 年第 15 次國家資通安全會報要求政府機關分級自建 SOC 以來，頤合資訊便從公營行庫開始，逐步協助民營金融機構與政府單位導入 ArcSight SOC 監控平台。

ArcSight 的核心優勢在於廣泛的設備支援度與直覺式的關聯規則編輯器。對於需要配合主管機關稽核要求的金融客戶而言，主導機關提供的規則分析建議可以快速導入，協助客戶迅速達成合規要求、因應金檢查核。這也是 ArcSight 在台灣金融 SIEM 市場維持七成以上市佔率的關鍵原因。

隨著雲端與現代化資安需求演進，ArcSight 持續強化部署彈性——支援容器化（Kubernetes/CDF）與 SaaS 部署模式，並透過 ArcSight Intelligence 的非監督式機器學習技術提升異常行為偵測能力。企業可藉由 ArcSight 平台整合 SIEM、UEBA 與 SOAR，實現跨平台威脅的即時關聯分析與自動化回應，為現代化資安需求提供完整的監控管理體系。