企業或機關為了保護資訊安全，大都已部署了各式各様的安全防護設備或系統。然而，每當資訊安全偵測或防護機制發現異常或攻撃行為時，由於缺乏即時分析及告警機制，喪失了極早處理的先機，導致資安問題愈來愈嚴重。反之也有因為資安告警訊息過多，而導致對告警訊息視而不見，甚至也沒有足夠的資源去識別及處理過多的告警，一様導致資安問題層出不窮。

威脅案件管理系統可用來整合各類的資安威脅告警訊息，提供企業及機關資安維運中心(SOC: Security Operation Center)的威脅案件管理服務。接收到告警訊息後，自由由訊息中判斷發生威脅所在之相關資訊資産，並即時傳送威脅通報給相關負責的人員進行處理，再藉由威脅案件的自動聚合及誤判過濾機制，來大幅降低不必要的威脅告警案件。

系統功能說明

◆ 威脅告警資訊接收
採用SOAP標準之Web Service界面，接收來自SIEM産品之威脅告警訊息，目前可接收來自 NetIQ Sentinel 經關聯分析後之告警訊息。若是由人工發現的資安威脅案件或藉由其他機制所發現的異常訊息，也可以透過本系統所提供的介面自行輸入後，統一納入本系統進行管理。

*註：其他 SIEM 産品本公司亦可協助進行客製化的界接。

◆ 組織架構及人員管理
威脅案件的管理需要處理人員回報後續的處理結果，且威脅案件處理的方式及結果應由主管進行審查，以滿足資安稽核的要求。因此本系統必須提供有關組織架構及人員的管理的相關功能，但為降低本系統在人組織架構及人員管理上的額外負擔，可提供下列方式來同步目前已經存在的組織架構及人員資料。

 ◇ Windows Active Directory 同步

 ◇ 標準CSV組織及人員淸單匯入

*註：本公司提供客製服務，可自動同步其他組織架構及人員的資料來源，例如：人事系統。

◆ 資訊資産管理
 ◇本系統提供資訊資産管理功能的主要目有二，

   其一、是將資訊資産與處理人員建立連結，在收到威脅案件資訊後，系統能自動判斷案件的處理人員。

   其二、是透過資産的價值及資産及威脅案件的嚴重性來決定威脅案件的等級。可透過下列方式來建立及管理資産：

   ◇ 接收到威脅案件告警訊息時自動建立

   ◇ 標準CSV資産淸單匯入

   ◇ 手動自行建立或更新資産

• 威脅案件管理
  管理人員可以很容易的查看到所有威脅案件
  
  
  案件處理人員檢視威脅案件内容
  

本系統中的主要功能，包含下列弱點案件管理功能：

威脅案件建立及通報：建案時自動判斷案件處理人員，依據資産價值及威脅嚴重性決定案件等級及處理期限。 威脅案件處理回報：回報威脅案件之處理說明，提供主管進行審查，亦可保存威脅處理的紀錄，滿足資安稽核的要求。 威脅案件的轉件：若原案件處理人員因任何原因需將案件移轉給他人處理時，可透過案件轉件功能將案件移轉其他人員來處理。 威脅案件的簽核：當威脅案件處理完畢後依其處理人員之組織階層架構，可將案件呈請其主管進行審查及簽核結案。

威脅管理報表

本系統内建提供下列威脅管理相關報表：

威脅案件統計報表(含趨勢分析) 威脅案件處理明細報表       註：本公司提供報表客製服務，可依需求提供客製化報表。

其他功能

同時支援本機使用者及外部 Acitive Directory 或 LDAP 的身份認證 提供完整使用者及管理者的稽核軌稽，可存放在本機檔案中或透過 Syslog協定即時抛轉至稽核紀錄管理系統中

主要效益

• 降低威脅管理相關人員的工作負擔
• 保留所有威脅管理作業中所有稽核的證據
  • 資安威脅案件處理紀錄
  • 誤判調整之紀錄與審查
• 提早防範資安風險，降低問題處理成本

作業環境需求

• 作業系統：Windows 2008 或 Winodws 2012
• 資料庫：SQL Server 2008 或 SQL Server 2012
• 網站伺服器：IIS 7.5