产品详细介绍

Corelight 是一款以“证据”为核心的网络检测与响应(Network Detection & Response,NDR)与威胁狩猎平台,专注于将复杂的网络流量转化为结构化、可审计、可追溯的安全证据,服务于企业 SOC、威胁狩猎团队和安全运营自动化场景。

平台通过部署在数据中心、云环境和关键业务网络中的传感器,持续采集网络流量,并将其转化为高价值的网络遥测数据和安全事件。借助 AI 驱动的检测能力与专家编写的分析规则,Corelight 帮助安全团队在攻击早期阶段就发现异常行为和潜在入侵,减少“盲区”,提升整体安全态势感知能力。

核心能力与特点:

  1. 完整网络可见性与证据化数据

    • 将原始网络流量转化为结构化日志和丰富的元数据,形成可直接用于调查和取证的“证据级”数据。
    • 覆盖从终端、服务器到云环境的关键通信路径,主动消除可见性缺口,帮助团队发现传统终端或日志难以捕获的威胁活动。

  2. 多层检测引擎与AI分析

    • 结合威胁情报、机器学习、行为分析和专家调优的特征规则,多层次识别已知与未知威胁。
    • 告警按风险优先级排序,并自动附加上下文信息和 AI 生成的证据摘要,显著降低误报率,提升检测准确度。

  3. Agentic Triage 自动化告警处置

    • 自动整合来自不同来源的告警,将相关事件进行聚合和关联分析。
    • 按预置的专家剧本(playbook)自动执行重复性调查步骤,让分析人员在几分钟内即可获得有证据支撑的结论,实现最高可达 10 倍的告警分流与处置效率提升。

  4. 开放平台与AI SOC 生态集成

    • 原生支持与 Splunk Enterprise Security、Splunk SOAR 的 CIM 和数据模型集成,简化数据接入与规则编写。
    • 与 CrowdStrike 联合实现更深更广的 XDR 能力,将终端与网络视角融合,构建端网一体的检测与响应体系。
    • 为 Microsoft Defender for IoT 和 Sentinel 提供高质量网络遥测数据,支持从设备发现到威胁狩猎的完整链路。

  5. 云与混合环境支持

    • 提供专门的 AWS 云传感器(Cloud Sensor for AWS),在云环境中实现网络可见性和威胁检测。
    • 适用于本地数据中心、混合云和多云架构,帮助企业在统一视图下管理不同环境中的安全风险。

通过这些能力,Corelight 支持构建“AI SOC”模式:以高质量网络证据为基础,叠加 AI 分析与自动化流程,让安全团队在面对复杂攻击时仍能快速、准确地做出响应。

简单使用教程

以下为一个典型企业环境中部署与使用 Corelight 的简明步骤示例,实际操作可根据组织规模和架构进行调整。

  1. 规划与部署传感器

    • 评估需要监控的关键网络区域:如数据中心核心交换区、互联网出口、云 VPC、关键业务系统所在网段等。
    • 在这些位置部署 Corelight 传感器(物理或虚拟设备),通过镜像端口或 TAP 方式接入网络流量。
    • 在云环境(如 AWS)中,部署 Cloud Sensor 并配置相应的流量镜像或日志采集策略。

  2. 配置数据输出与平台集成

    • 在 Corelight 管理界面中,配置日志与事件的输出目标,例如:
      • SIEM 平台(如 Splunk Enterprise Security);
      • SOAR 平台(如 Splunk SOAR);
      • XDR/EDR 平台(如 CrowdStrike);
      • 云安全平台(如 Microsoft Sentinel)。
    • 启用原生 CIM 和数据模型映射,确保在 SIEM 中可以直接使用预置的字段和仪表盘。

  3. 启用检测策略与威胁情报

    • 打开默认推荐的检测规则集,包括行为分析、协议异常检测、已知威胁特征等。
    • 接入组织已有的威胁情报源(如恶意 IP/域名列表),并与 Corelight 的多层检测引擎结合使用。
    • 根据业务特点调整规则灵敏度,逐步优化误报与漏报平衡。

  4. 使用 Agentic Triage 进行告警处置

    • 在平台中启用 Agentic Triage 功能,让系统自动对告警进行聚合、关联和优先级排序。
    • 为常见攻击场景(如横向移动、数据外泄、可疑 C2 通信)配置或启用预置的专家剧本(playbook)。
    • 分析人员在告警详情页中查看自动生成的证据摘要、相关会话、受影响资产和时间线,快速做出处置决策。

  5. 开展威胁狩猎与持续优化

    • 利用 Corelight 输出的结构化网络证据,在 SIEM 或安全数据湖中构建查询与可视化报表,主动搜索异常模式。
    • 针对发现的新型攻击手法,反向在 Corelight 中调整或新增检测规则,形成持续改进闭环。
    • 定期审查告警统计、误报率和响应时间,结合业务变化优化传感器部署位置和策略配置。

通过以上步骤,安全团队可以在较短时间内让 Corelight 融入现有安全运营体系,快速获得更全面的网络可见性、更高质量的告警以及更高效的威胁调查与响应能力。