主页 » 功能 » 事件日志相关性

发现具有事件日志相关性的复杂攻击模式

日志是网络活动的面包屑,包含有关网络上所有用户和系统活动的高度详细信息。基本日志分析可帮助您轻松整理数百万个日志,并挑出指示可疑活动的日志,以及识别与正常网络活动不一致的异常日志。

通常,单独查看的单个日志可能看起来完全正常,但当与一组其他相关日志一起查看时,可能会形成潜在的攻击模式。SIEM解决方案从您网络中的各种来源收集事件数据,可以检测您环境中的任何可疑事件。

EventLog Analyzer的日志相关引擎会发现来自网络上设备的日志序列,这些日志指示可能的攻击,并快速提醒您威胁。构建强大的事件日志相关性和分析功能使您能够开始采取主动措施来应对网络攻击。

与EventLog Analyzer的日志相关性

EventLog Analyzer强大的事件相关引擎可以有效地识别日志中定义的攻击模式。它的相关模块提供了许多有用的功能,包括:

  • 预定义规则:利用产品随附的30多个预定义的SIEM相关规则。
  • 概述仪表板:浏览易于使用的相关仪表板,该仪表板提供每个攻击模式的详细报表以及所有发现攻击的概述报表,便于深入分析。
  • 时间线视图:查看时间线图,显示每个已识别的攻击模式的日志顺序。
  • 威胁检测:识别已知恶意行为者实施的可疑网络活动。
  • 直观的规则构建器:使用易于使用的规则构建器定义新的攻击模式,该构建器提供网络操作的分类列表,并允许您将它们拖放到所需的顺序中。
  • 基于字段的过滤器:在日志字段上设置约束,以便对定义的攻击模式进行细粒度控制。
  • 即时告警:设置电子邮件或短信通知,这样每当系统出现可疑模式时,您就会立即收到告警。
  • 规则管理:从单个页面启用、禁用、删除或编辑规则及其通知。
  • 列选择器:通过选择所需的列并根据需要重命名它们来控制每个报表中显示的信息。
  • 计划报表:设置计划以生成和分发您所需的相关报表。

使用直观的界面创建自定义相关规则

借助EventLog Analyzer的规则构建器界面,此事件相关软件使创建新攻击模式的过程变得容易:

  • 使用一百多个网络事件定义新的攻击模式。
  • 拖放规则以重新排列哪些操作构成模式,以及按什么顺序排列。
  • 使用过滤器限制某些日志字段值。
  • 指定触发告警的阈值,例如事件必须发生多少次或事件之间的时间范围。
  • 为每条规则添加名称、类别和描述。
  • 编辑现有规则以微调您的告警。如果您注意到特定规则产生了太多的误报或无法识别攻击,您可以根据需要轻松调整规则定义。

事件相关报表

EventLog Analyzer附带预定义的相关报表,涵盖几种已知的攻击类型,例如:

  • 用户帐户威胁:通过检查可疑的活动模式(如暴力尝试、登录失败或密码更改尝试等)来保护用户帐户免受损害。
  • Web服务器威胁:分析传入的Web流量,以进行黑客攻击,如恶意URL请求或SQL注入。
  • 数据库威胁:通过检测数据库中的异常活动(如大规模数据删除或未经授权的备份活动)来防止数据泄露。
  • 勒索软件:通过检查同一进程正在进行的多个文件修改来检测类似勒索软件的活动。
  • 文件完整性威胁:通过报表可疑的文件权限更改和文件访问尝试,保护关键文件和文件夹免受未经授权的访问或修改。
  • Windows和Unix威胁:识别Windows和Unix系统中的异常活动,如潜在的蠕虫活动、恶意软件安装、未经授权的注册表更改尝试、意外的sudo命令执行等。
  • 与加密货币相关的威胁:通过检查机器温度或CPU使用异常峰值,保护网络资源不被用于未经授权的加密采矿。

相关信息图:使用EventLog Analyzer检测未经授权的加密采矿或加密劫持

防止具有事件相关性的攻击

EventLog Analyzer的预定义相关规则可帮助您检测各种攻击指标。其中一个例子是检测潜在的恶意软件隐藏在您的网络中作为后台服务。观看视频,了解EventLog Analyzer如何帮助您检测正在安装的可疑软件。

底部横幅

其他功能

SIEM

EventLog Analyzer在单个控制台中提供日志管理、文件完整性监控和实时事件相关功能,有助于满足SIEM需求、打击安全攻击和防止数据泄露。

IT合规管理

遵守监管授权的严格要求,即PCI DSS、FISMA、HIPAA等预定义报表和告警。自定义现有报表或构建新报表,以满足内部安全需求。

文件完整性监控

使用实时告警监控机密文件/文件夹的关键更改。通过预定义的报表获取详细信息,例如“谁进行了更改,更改了什么,何时何地”。

日志收集

使用代理更少或基于代理的方法,从Windows服务器或工作站、Linux/Unix服务器、网络设备(即路由器、交换机和防火墙)以及应用程序集中收集日志数据。

日志分析

分析来自网络来源的日志数据。检测异常,跟踪关键安全事件,并使用预定义的报表、直观的仪表板和即时告警监控用户行为。

日志取证分析

进行深入的取证分析,以回溯攻击并确定事件的根本原因。将搜索查询保存为告警配置文件,以减轻未来的威胁。

需要功能吗?告诉我们
如果您想查看在EventLog Analyzer中实现的其他功能,我们很乐意听到。点击此处继续