網路安全機制的三部曲是資料擷取、資料分析與行動。隨著流量成長與傳輸技術的創新，再加上不同功能之安全設備同時運作，資料擷取之複雜度遽昇，當前安全機制之可靠性與效能將因此而大幅降級。

GRISM 的任務是同時服務多種網路安全設備之資料擷取系統，包括：聚合、過濾、封包重工等。網路大數據萃取與流量分配的機制令各網路安全設備僅取得各自所需要的原始資料 (封包) 或 metadata (如 NetFlow)。此系統還能利用封包特徵辨識低風險流量，避免將其導入網路安全設備。GRISM 可確保網路安全設備不再因監控覆蓋不完整而形成盲點，再配上精密之網路解析能力以排除無用資訊，如此可大幅提升整體網路防禦機制的效益。

GRISM 無疑是居於網路監控之樞紐，並可利用這特殊位置導入威脅情資驅動網路防禦的框架，匯入入侵指標 (IoC:IP/Domain/URL 等) 清單，進而阻斷或偵測多種新興網路威脅。IP 與 Domain 的檢查可不受加密干擾，經常性更新也和緩了 Zero day 效應，其所能承載的入侵指標數量更遠遠高過傳統的網路安全設備如 NGFW 或 IPS。

GRISM 的網路能見度機制是網路安全防禦的基礎；缺乏此穩固基礎將使再多的安全設備亦無法抹除資安死角；同時 GRISM 能連結多種優質的情資來源，將取得之巨量入侵指標即時比對封包，以構築一道新型態的網路防禦屏障。

Deduplication

排除 L3 以上的重複封包

Aggregate

可從多個來源或介面收集流量
並進行封包預處理 (Pre-Processing)

Packet Slicing

移除封包特定區域 (section)
進行裁切