利用关联来发现复杂攻击模式

Posted 2023-02-25

日志是网络活动的重要依据，包含了关于您网络上所有用户和系统活动的详尽信息。基本日志分析可帮助您轻松地对数百万个日志进行分类，并挑选出可以表明存在可疑活动的日志，识别与正常网络活动不符的异常日志。

通常，单独查看某个日志可能看起来完全正常，但如果结合一组其他相关的日志，就可能得到潜在的攻击模式。EventLog Analyzer的关联引擎发现了来自网络上多个设备的日志序列，这表明存在可能的攻击，并会迅速向您发出告警表知该威胁。它的功能让您不局限于分析日志，并主动采取措施来抵御攻击。

EventLog Analyzer

EventLog Analyzer日志关联

EventLog Analyzer强大的关联引擎可高效识别您日志中已确定的攻击模式。其关联模块提供了多个有用的功能，包括：

• 预定义规则： 利用产品附带的20多个预定义的攻击模式（或规则）。
• 概况仪表盘： 浏览易于使用的关联仪表盘，其中针对各个攻击模式均提供了详细报表，还针对所有已发现的攻击提供了概况报表，可帮助进行深入分析。
• 时间线视图： 浏览易于使用的关联仪表盘，其中针对各个攻击模式均提供了详细报表，还针对所有已发现的攻击提供了概况报表，可帮助进行深入分析。
• 直观的规则生成器： 浏览易于使用的关联仪表盘，其中针对各个攻击模式均提供了详细报表，还针对所有已发现的攻击提供了概况报表，可帮助进行深入分析。
• 字段筛选器： 对日志字段设置约束，以对已定义的攻击模式进行细粒度控制。
• 即时告警： 设置电子邮件或短信通知，这样当系统识别出可疑模式时，您会立即收到告警。
• 规则管理： 在一个页面上便可启用、禁用、删除或编辑规则及其通知。
• 列选择器： 通过选择所需列并按需对其重命名，以控制各报表中显示的信息。
• 计划报表： 设置计划来生成和分发您所需的关联报表。

关联日志

使用直观的界面创建规则

通过其规则生成器界面，EventLog Analyzer让新的攻击模式创建过程如此简单。

• 使用一百多个网络操作来定义新的攻击模式。
• 拖放规则以调整某个模式所包含的操作，以及所采用的顺序。
• 使用筛选器限制特定的日志字段值。
• 指定触发告警的阈值，如操作的发生次数或操作之间的时间帧。
• 为每个规则添加名称、类别和描述。
• 编辑现有规则以微调您的告警。如果您注意到某个特定的规则生成的误报过多或未能识别出攻击，您可根据需要轻松调整规则定义。

了解EventLog Analyzer的更多功能，请关注“运维有小邓”，小邓将带您了解更多IT运维新知识！