Khả năng lưu trữ log trong thời gian dài (vài năm) với những chủng loại dữ liệu phong phú như log phân giải tên miền, log kết nối http, traffic mạng, log ứng dụng, log xử lý của Anti Virus, proxy… cùng tính sẵn sàng cao, có thể tự sửa lỗi và dễ dàng mở rộng

Giải pháp sử dụng công nghệ tính toán song song cho phép chia nhỏ tác vụ lớn thành nhiều tác vụ nhỏ hơn để thực hiện chạy song song trên nhiều node. Kết hợp với khả năng lưu trữ phân tán, giải pháp mang lại nguồn dữ liệu đủ lớn, sẵn sàng cho việc áp dụng các thuật toán học máy phức tạp vào việc khai thác dữ liệu

Áp dụng các công nghệ học máy (Marchine Learning) và trí tuệ nhân tạo (Artificial Intelligence) trong quá trình điều tra, phân tích log để tối ưu hóa việc tương quan các sự kiện, cảnh báo và giảm thiểu các cảnh báo sai

Toàn bộ giải pháp được cấu thành dựa trên các use-case, từ những usecase đơn lẻ nhằm phát hiện những những hành vi bất thường đơn giản đến những use-case tổng hợp liên kết các dấu hiệu bất thường để đưa ra những dự báo về tấn công vào hệ thống. Với thiết kế này, hệ thống dễ dàng được mở rộng thêm tri thức mới nhờ vào việc cập nhật use-case mới hoặc kết hợp các use-case lại với nhau. Dưới đây là một số use-case điển hình nhằm phát hiện các dấu hiệu bất thường theo hành vi: Phát hiện hành vi truy cập vào webshell cài đặt trong hệ thống của tổ chức trên log access Phát hiện IP trong hệ thống chưa cài đặt Agent giám sát Use-case phát hiện kết nối C&C tới domain sinh bởi thuật toán sinh tên miền tự động (DGA) Use-case phát hiện PC trong tổ chức vừa có kết nối Internet, vừa kết nối quản trị tới các máy chủ quan trọng Use-case phát hiện kết nối quản trị vi phạm chính sách của tổ chức