SNC 通过 Elastic 建立强大的内部安全运营中心，同时扩展以摄取十倍的数据量

对于领先的航空航天和国家安全承包商 SNC 而言，强大的网络安全不仅仅是最佳实践，更是一种要求。严格的政府法规以及维护客户信任的需求，使其有必要在其运营的各个方面保持全面的安全态势。这包括飞机改装和集成、太空组件和系统开发以及网络安全和健康设计的相关技术产品。

Elastic 在这一强大的防御战略中发挥着关键作用，保护 SNC 免受包括网络犯罪分子、国家支持的参与者和其他恶意实体在内的一系列威胁。SNC 数据集成战略总监 Doug Russell 强调，与外部提供商管理的以前的 SIEM 解决方案相比，性能有了显着提高。“旧系统运行缓慢且成本高昂，”他解释说。“运行查询是一个繁琐的过程。”

Russell 的团队选择与现有解决方案同时运行 Elastic，以获得第一手的视角。结果显而易见。“差异就像白天和黑夜，”Russell 说。“Elastic 在我们环境中的速度和查询能力让我们震惊。使用 Kibana 仪表板可视化数据的能力也令人印象深刻。”

在这些结果的推动下，SNC 迅速全面迁移到 Elastic Security。这种转变消除了对外部托管服务提供商的需求。“通过将 Elastic Security 作为我们的中央 SIEM 解决方案，我们能够在内部完全建立一个强大的安全运营中心 (SOC)，”Russell 说。这种转变使 SNC 的网络团队能够直接分析和保护有价值的知识产权和受控非机密信息 (CUI)，而无需第三方的帮助。

Elastic 的另一个引人注目的优势在于其强大的自动化能力。SNC 成功地自动化了其大部分告警工作流程，通过 Elastic 的案例管理功能实现了更高效的案例跟踪。“Elastic 帮助我们减轻了安全分析师的压力，同时促进了更顺畅的数据访问，”Russell 说。

SNC 的团队也从 Elastic 的可扩展性中获益匪浅。与过去的解决方案相比，Elastic Security 可以轻松管理 10 倍的数据摄取量增长——相当于每天 1 TB 的数据。这种可扩展性使 SNC 能够跟上当今威胁形势下不断增长的安全数据量。

自从部署 Elastic Security 以来，SNC 的查询响应时间得到了显著提高。“现在结果在几秒钟甚至更短的时间内就可以交付，而我们之前的 SIEM 需要等待几分钟，”Russell 说。“这种增强的速度对于遵守我们与客户的严格 SLA 至关重要，并确保我们保持在合规范围内。”

现在，整个组织的员工都可以在所需时间的一小部分内找到关键信息。这转化为在竞争激烈的国防领域的效率提升，而成本效益直接影响政府合同的授予。

Elastic 在存储效率方面也很出色，满足了 SNC 严格的数据保留要求。它能够从冷存储和冻结存储层快速检索旧数据，从而最大限度地减少对昂贵的热访问硬件的依赖。“像可搜索快照这样的功能使我们能够从不经常访问的数据中快速获得答案，”Russell 说。

SNC 在识别和缓解威胁（在它们影响客户之前）方面取得了至关重要的优势。“Elastic Security 使我们能够在零日攻击被公开宣布之前就发现、隔离和消除它们，”Russell 解释说。这种主动的方法显著增强了 SNC 的安全态势，并最大限度地减少了潜在的损害。

当 SNC 将其安全运营作为基于云的托管安全服务提供时，其命运发生了转变。“Elastic 是一个游戏规则改变者，”Russell 说。“我们利用我们的经验创建了一个新的收入来源，促进了业务增长和我们安全分析师的专业发展。”

基于 Elastic Security 和 Microsoft Azure 政府云的综合优势，可防御的安全服务使中小型国防承包商能够保护其系统并遵守美国政府法规。这包括 2025 年生效的未来法规，例如网络安全成熟度模型认证 (CMMC)。

“通过 Elastic 和 Microsoft，我们将保护范围扩展到传统 IT 系统之外，为运营技术 (OT) 提供实时防御，”Russell 解释说。“这种全面的方法确保了对客户组织的全面安全覆盖。”

Elastic Security 支持将多个安全工具整合到一个平台上。Russell 引用了一个识别恶意 IP 地址的例子。以前，分析师需要访问多个平台才能获得完整的图像。“涉及的工具越多，维护和运营安全基础设施就越复杂和昂贵，”他解释说。

“Elastic 优雅地满足了我们的要求，而没有不必要的复杂性或成本。它被证明是最具成本效益的解决方案，产生了可观的节省。”

Elastic Security 促进了 SOC 和事件响应 (IR) 团队之间更好的协作。SNC 的网络安全经理 Roderick Bickert 解释说：“以前，共享信息需要交换大量链接。使用 Elastic，我们可以发送一个链接，将人们引导到所有可用信息，为协作者提供清晰的背景信息。在统一平台中查看所有内容显著简化了工作流程。”

除了其解决方案之外，Elastic 还在整个部署过程中提供了宝贵的咨询和支持。当 SNC 过渡到提供托管安全服务时，这被证明特别有益。“Elastic 的支持非常出色，”Russell 说。“他们始终不遗余力地确保我们的成功。”

他重视关于优化现有和新功能的持续指导。“虽然我们可能没有时间测试每个新元素，但 Elastic 会主动确保我们最大化我们的投资价值。”

SNC 有宏伟的计划，以扩大其 SOC 中 AI 和机器学习的应用。Elastic Security 的数据集中化功能对于这一愿景至关重要。SNC 的高级网络安全数据科学经理 Cassie Cagwin 说：“无论数据量如何，我们都可以将所有内容存储在中心位置。这使我们能够应用任何必要的逻辑，无论是在 Elastic 内部还是通过提取数据用于外部 ML 模型。然后，结果会作为警报或规则反馈到 Elastic。”

她对利用 Elastic 的异常检测功能特别感兴趣。这些功能会自动建模正常的时间序列数据行为，从而实现实时异常识别、简化根本原因分析和最小化误报。

另一个特别令人感兴趣的功能是开箱即用的用户实体行为分析 (UEBA) 工具。UEBA 使 SNC 不仅可以分析用户行为，还可以分析其系统中其他实体（包括设备和端点）的行为。“Elastic 继续在我们的 AI 安全计划中发挥核心作用，”Cagwin 说。