事件管理

EventLog Analyzer 帮助您简化管理和调查安全事件的过程。您可以通过告警 → 事件来跟踪安全事件的状态。

查看和编辑事件

事件页面,您可以查看网络中所有事件的列表以及受理人、状态和严重性等关键信息。您可以点击任何事件以查看和编辑事件的名称、描述、受理人、状态和严重性。证据注释标签显示附加到事件的证据和注释列表。活动日志页面记录并显示与事件的创建、修改和删除有关的事件。

事件页面显示事件的周期、创建者以及创建时间等详细信息。Actors部件包含对事件负责的用户、实体、服务和流程的列表,以帮助受理人快速调查事件并采取补救措施。

Incident management

创建事件的步骤

您可以通过告警 → 事件 → +添加事件在EventLog Analyzer中创建事件。

  • 事件页面,在相应字段中输入事件的名称和描述。
  • 从相应的下拉菜单中选择事件的受理人、严重性和状态。
  • 点击创建

您可以在活动日志窗口中查看正在记录的事件创建事件。

Incident management

此外,您还可以通过以下方式在EventLog Analyzer中创建事件:

将告警映射为事件的步骤

在EventLog Analyzer中,您可以将触发的告警映射为事件,指派一名安全技术员来响应该事件,并按照以下步骤跟踪其状态:

  • 点击告警标签。
  • 选择要为其创建事件的告警。
  • 点击告警表顶部的+ 添加到事件按钮,点击+添加到事件选项,以创建一个新的事件。
  • 输入事件的名称和描述。
  • 从相应的下拉菜单中选择事件的受理人、状态和严重性。
  • 点击创建

您还可以通过选择告警、点击+添加到事件按钮并从显示的列表中选择所需的事件来添加告警作为事件的证据。现在可以在所选事件的证据标签下查看告警。

Incident management

将搜索结果映射为事件的步骤

EventLog Analyzer允许您将搜索结果映射为事件,以帮助您通过执行以下步骤回溯攻击并执行根本原因分析:

  • 进入到搜索标签并执行所需的搜索查询。
  • 在搜索结果窗格中,点击事件按钮。
  • 现在,选择要添加到事件中的搜索结果。
  • 点击+添加到事件按钮,然后选择要向其添加搜索结果的事件。
  • 或者,您也可以通过点击+添加新事件链接来创建新事件以映射选定的搜索结果。
  • 如果您要创建新事件,请输入事件的名称和描述。从相应的下拉菜单中选择受理人、状态和严重性。
  • 点击创建。

现在,您可以在事件的证据选项卡下查看作为证据添加的搜索结果。

Steps to map search results as incidents

将报表映射为事件的步骤

如果在报表中检测到异常,您可以进一步调查报表中指定的异常事件,方法是将这些事件映射为事件,并指派专门的 IT 安全专业员对其进行彻底检查。您可以按照以下步骤将报表的事件映射为事件:

  • 进入报表标签,然后点击要添加为事件的报表。/li>
  • 点击事件按钮并选择感兴趣的事件。
  • 点击+添加到事件按钮,然后选择要将所选事件添加到的事件的名称。
  • 或者,您也可以通过点击+添加新事件链接来创建新事件。
  • 如果要创建新事件,请输入该事件的名称和描述。从各自的下拉菜单中选择受理人、状态和严重性。
  • 点击创建。

现在,您可以查看所选事件的证据标签下列出的报表的事件。

Steps to map reports as incidents

配置事件规则

您可以为设备、设备组和告警配置文件配置预定义的事件规则,以便在指定时间段内触发特定数量的告警时自动创建事件。

创建事件规则的步骤

  • 点击告警 → 事件 → 事件规则 → +添加事件规则
  • 输入事件规则的名称和说明。
  • 通过从分配给下拉菜单中选择名称,将此规则创建的事件分配给技术员。
  • 选择严重度: 关注、故障危急
  • 输入阈值以创建事件。当在时间范围内触发指定数量的告警时,将创建一个事件。
  • 条件字段中,指定要为其创建事件的设备、设备组告警配置文件。您还可以通过点击+图标添加另一个字段并使用ANDOR逻辑运算符组合它们来创建具有多个字段的条件。
  • 点击保存
Incident management

您可以点击事件名称来编辑事件的名称、描述、受理人、严重性和状态。您可以查看事件的证据、注释、活动日志和参与者。此外,您还可以在此页面中查看事件的创建者、创建时间以及事件的周期。

Incident management

注意: 您最多可以在 EventLog Analyzer 实例中创建 10 个事件规则。该解决方案能够在一天内针对每个事件规则触发多达 50 个事件。

创建事件视图

通过从选择视图下拉菜单中选择所需的视图,您可以查看各种类别下的事件,例如所有事件、活动事件和严重事件。您还可以通过为要查看的事件类型配置过滤器来创建自定义视图。

Steps to map reports as incidents

应用过滤器并点击另存为视图链接以输入视图名称并点击保存 。自定义视图对于创建它们的用户来说是个人的,并且只能由他们查看。您可以通过将鼠标指针悬停在选择视图下拉菜单中创建的视图上来编辑和删除自定义视图。

Steps to map reports as incidents

查看和编辑事件规则

在事件规则页面中,您可以选择事件以启用、禁用和删除它们。

Steps to map reports as incidents
 
Copyright © 2022,ZOHO Corp。版权所有。
ManageEngine