事件日志相关性
发现复杂的攻击模式

发现具有事件日志相关性的复杂攻击模式

日志是网络活动的面包屑，包含有关网络上所有用户和系统活动的高度详细信息。基本日志分析可帮助您轻松整理数百万个日志，并挑出指示可疑活动的日志，以及识别与正常网络活动不一致的异常日志。

EventLog Analyzer的日志相关引擎会发现来自网络上设备的日志序列，这些日志指示可能的攻击，并快速提醒您威胁。构建强大的事件日志相关性和分析功能使您能够开始采取主动措施来应对网络攻击。

• 预定义规则：利用产品随附的30多个预定义的SIEM相关规则。
• 概述仪表板：浏览易于使用的相关仪表板，该仪表板提供每个攻击模式的详细报表以及所有发现攻击的概述报表，便于深入分析。
• 时间线视图：查看时间线图，显示每个已识别的攻击模式的日志顺序。
• 威胁检测：识别已知恶意行为者实施的可疑网络活动。
• 直观的规则构建器：使用易于使用的规则构建器定义新的攻击模式，该构建器提供网络操作的分类列表，并允许您将它们拖放到所需的顺序中。
• 基于字段的过滤器：在日志字段上设置约束，以便对定义的攻击模式进行细粒度控制。
• 即时告警：设置电子邮件或短信通知，这样每当系统出现可疑模式时，您就会立即收到告警。
• 规则管理：从单个页面启用、禁用、删除或编辑规则及其通知。
• 列选择器：通过选择所需的列并根据需要重命名它们来控制每个报表中显示的信息。
• 计划报表：设置计划以生成和分发您所需的相关报表。

• 使用一百多个网络事件定义新的攻击模式。
• 拖放规则以重新排列哪些操作构成模式，以及按什么顺序排列。
• 使用过滤器限制某些日志字段值。
• 指定触发告警的阈值，例如事件必须发生多少次或事件之间的时间范围。
• 为每条规则添加名称、类别和描述。
• 编辑现有规则以微调您的告警。如果您注意到特定规则产生了太多的误报或无法识别攻击，您可以根据需要轻松调整规则定义。

事件相关报表

EventLog Analyzer附带预定义的相关报表，涵盖几种已知的攻击类型，例如：

• 用户帐户威胁：通过检查可疑的活动模式（如暴力尝试、登录失败或密码更改尝试等）来保护用户帐户免受损害。
• Web服务器威胁：分析传入的Web流量，以进行黑客攻击，如恶意URL请求或SQL注入。
• 数据库威胁：通过检测数据库中的异常活动（如大规模数据删除或未经授权的备份活动）来防止数据泄露。
• 勒索软件：通过检查同一进程正在进行的多个文件修改来检测类似勒索软件的活动。
• 文件完整性威胁：通过报表可疑的文件权限更改和文件访问尝试，保护关键文件和文件夹免受未经授权的访问或修改。
• Windows和Unix威胁：识别Windows和Unix系统中的异常活动，如潜在的蠕虫活动、恶意软件安装、未经授权的注册表更改尝试、意外的sudo命令执行等。
• 与加密货币相关的威胁：通过检查机器温度或CPU使用异常峰值，保护网络资源不被用于未经授权的加密采矿。

相关信息图：使用EventLog Analyzer检测未经授权的加密采矿或加密劫持。

需要功能吗？告诉我们
如果您想查看在EventLog Analyzer中实现的其他功能，我们很乐意听到。点击此处继续