สำหรับองค์กรที่กำลังมองหาเทคโนโลยี Security Data Analytics อยู่นั้น Apache Metron คือโครงการ Open Source สำหรับระบบ Real-time Big Data Enabled Cybersecurity Analytics ที่สามารถนำมาประยุกต์ใช้งานเพื่อสร้างระบบ Next Generation Security Operations Center (SOC) ขององค์กรได้ฟรีๆ

โครงการ Apache Metron นี้เป็น Framework สำหรับระบบ Big Data Cybersecurity โดยเฉพาะ ด้วยการนำเทคโนโลยี Open Source ในส่วนของ Big Data หลากหลายมารวมกันกลายเป็นเครื่องมือสำหรับการทำ Security Monitoring และ Security Analysis ที่รวมถึงความสามารถทั้งการรับข้อมูล, การวิเคราะห์ข้อมูล และการบันทึกข้อมูลขนาดใหญ่ที่เกี่ยวข้อกับ Security เช่น Security Data Feed, Log และ Network Metadata โดยสามารถทำ Log Aggregation, Full Packet Capture Indexing, Storage, Advanced Behavioral Analytics และ Data Enrichment ได้ในตัว ทำให้รองรับได้ทั้งข้อมูล Threat Intelligence ในปัจจุบัน ไปจนถึง Security Telemetry ได้อย่างครบถ้วนภายในระบบเดียว
จุดเด่นหลักๆ ของ Apache Metron มีด้วยกัน 4 ประการ ได้แก่
- Security Data Lake สำหรับใช้จัดเก็บข้อมูลอย่างมั่นคงปลอดภัยและมีประสิทธิภาพไปพร้อมๆ กัน และยังง่ายต่อการค้นหาและนำไปวิเคราะห์ต่อได้
- Pluggable Framework นอกจาก Parser ที่มีให้ใช้เพื่อรับ Security Data ได้จากหลากหลายแหล่งแล้ว Apache Metron ยังเปิดให้ทำการสร้าง Parser ใหม่ๆ เพื่อรองรับ Data Source ใหม่ๆ ได้ด้วย รวมไปถึงการปรับแต่ง Dashboard, การเพิ่มระบบวิเคราะห์ข้อมูล และอื่นๆ อีกมากมาย
- Threat Detection Platform ด้วยการนำ Machine Learning และ Anomaly Detection มาใช้ร่วมกัน ก็ทำให้สามารถวิเคราะห์เหตุการณ์ต่างๆ ได้แบบ Real-time และค้นพบการโจมตีที่เกิดขึ้นได้ทันที
- Incident Response Application เป็นฟีเจอร์ที่ต่อยอดขึ้นมาให้มากกว่า SIEM ที่ทำการแจ้งเตือนและวิเคราะห์ภัยคุกคามต่างๆ ได้ ด้วยการเพิ่มความสามารถในการทำ Packet Replay สำหรับวิเคราะห์ภัยคุกคามที่เกิดขึ้น, การจัดเก็บหลักฐานสำคัญที่พบแยกเอาไว้ต่างหาก และมีบริการต่างๆ ที่นิยมใช้งานในหมู่ SOC Analyst ให้พร้อมใช้งานในตัวอยู่แล้ว

ผู้ที่สนใจรายละเอียดฉบับเต็ม สามารถศึกษาได้ที่เว็บไซต์ของโครงการ Apache Metron ที่ https://cwiki.apache.org/confluence/display/METRON/Metron+Wiki ได้เลยครับ