可用报表

Log360 UEBA 提供全面的报表，可帮助识别设备、数据库等活动中的异常情况。每个异常可以分为基于时间的、基于计数的和基于模式的。除此之外，还可以分别为用户和系统分析异常情况。

选项	事件源	异常报表
设备	Windows设备	启动和关闭 安装服务和软件 安装服务和软件 注册活动 应用程序白名单 登录 文件变更 网络共享活动 防火墙变更
	Unix设备	USB活动 定时任务 登录 VMware登录 文件传输
	路由器	配置变更 登录
应用	活动目录审计	登录 进程活动 用户管理
	微软SQL服务器	DDL 和 DML 活动 登录 启动和关闭 密码变更 帐户管理
	FTP 服务器	文件传输 登录 文件活动
防火墙设备	-	允许和拒绝的流量 登录 策略活动 VPN登录 已分配的VPN IP VPN连接状态 VPN用户
云服务	Azure	用户活动 网络安全组变更 公共IP地址 虚拟机/计算机 数据库 存储帐户 资源锁 虚拟网络变更 应用程序网关变更 DNS变更 流量管理器
	AWS	登录 IAM活动 用户活动 网络安全组变更 VPC活动 WAF变更 安全令牌服务 AWS配置报表 Amazon自动缩放报表 Amazon ELB报表 RDS报表 S3 Bucket活动报表 EC2报表 Route 53
	Google	用户活动 IAM活动 网络安全变更 VPC活动 Network服务 混合连接 虚拟机/计算机 云函数 应用引擎 谷歌存储 GCP资源管理

异常报表

可以为以下情况生成异常报表：

• Windows、Unix 和 Cisco 设备
• Active Directory、SQL Server、PAM360 和 FTP 服务器等应用程序。
• 来自不同供应商的防火墙设备
• 云服务，例如 AWS、Azure 和 Google

除了上述之外，Log360 UEBA 还通过与全面的特权访问管理解决方案 ManageEngine PAM360 紧密集成来检测特权访问中的异常情况。

可以为用户或实体（机器）跟踪异常。此外，异常可能是：

• 基于时间的: 活动通常发生的预期时间与实际发生的时间之间存在偏差。例如，用户A通常在晚上11:00到11:15之间登录，但奇怪的是在早上5:16显示登录。

基于时间的Windows 登录异常示例

• 基于计数的: 预期活动数量与实际活动数量之间存在偏差。例如，通常一天有 73 个文件修改的文件服务器显示出399个文件修改。

基于计数的文件修改异常示例

• 基于模式的: 发生了一系列意想不到的事件。每个事件，单独考虑可能不是异常的，但是当它们都被视为一个序列时，它就会偏离预期。例如，用户ueba_user1于下午 4:19 在服务器A上安装了一个软件；如果是用户ueba_user2执行了此活动，这将是一个预期的事件序列。

基于计数的软件安装异常示例

异常可视化

异常可视化使管理员能够查看每个分析异常的图形表示。它显示了观察值与预期值的差距。

可视化异常：

• 浏览到您选择的异常报表
• 在产看明细列下面点击查看明细
• 将打开一个小部件以显示异常的图形

这是时间异常的示例异常可视化图表。在此示例中，特定用户的预期登录时间在晚上 11 点到 11:15 之间，但实际登录时间显示在上午 5:15 到 5:30 之间。

登录时间异常的异常可视化

这是计数异常的示例异常可视化图表。在此示例中，在主机 Log360QA-W12-2 上观察到 1383 个文件删除，而阈值仅为 1033 个此类活动。

计数异常的异常可视化

Log360 UEBA 还提供模式异常的异常可视化图表。在下面的示例中，用户 DWM-3 正在使用交互式登录（登录类型 2）登录到主机 itsl360-2k12-1。这被识别为一种罕见的模式，并被标记为异常。

模式异常的异常可视化