日志與事件相關性的聯系

日志與事件相關性的聯系

從基礎知識開始

安全資訊和事件管理 (SIEM)幫助管理和分析網絡産生的巨大數量的日志資訊。在SIEM所有功能中，事件相關性是最強大的功能。這個技術分析來自伺服器、應用程式、路由器、防火牆和其他網絡裝置的日志資料，并顯示潛在攻擊活動的模式。事件相關性讓您擷取已有資訊的最大資訊點，這樣您就可以簡化安全事件檢測。

事件相關性檢測哪種類型的攻擊?

事件相關性遵循自上而下的方法。如果它檢測到一個單個事件可能是攻擊活動的一部分時，它開始尋找一個相關事件的序列，直到它能夠驗證潛在攻擊模式的存在。通過這種方法，事件相關性可以靈活性地找到無限數量的模式，讓您可以緊跟不斷變化的網絡攻擊。下面是一些典型的攻擊行為，這個技術可以幫助您抵擋攻擊:

進階地持續攻擊: 發現誰在試圖避開網絡，在背景進行惡意活動的攻擊者。事件相關性幫助您通過查找關鍵名額，顯示惡意背景活動，發現這些惡意的試圖活動。例如，您可以識别出後門賬戶的建立，以及可疑的軟體和服務的安裝。

資料洩露: 監控您的機密資料，保證其遠離非法通路。這方面的例子包括異常檔案删除或未授權的SQL備份。

惡意的内部人員: 密切關注您的員工，注意内部惡意活動。暴力破解進入關鍵企業伺服器或工作站，越權使用網絡資源，都屬于這一範疇。

橫向傳播: 在進行傳播之前，檢測通過網絡的橫向移動和損害。這包括在多個網絡裝置上安裝的蠕蟲或跨網絡的多個檔案被修改，這可能表明可能的勒索軟體活動。

企業如何是以得到益處？

得到安全性的整合觀點: 根據事件相關性，安全性就是網絡整體應該強制具備的功能，而不是隻針對某幾台裝置。

更快，更準确的事件檢測: 一旦開始日志收集，事件相關性會瞬間識别事件類型。它也通過查找一系列相關事件的軌迹，提供單個事件的前因後果。這使檢測事件更準确，進而減少誤報。

持續改進安全政策: 檢測事件、揭露網絡中的薄弱環節，這樣可以幫助安全管理者在最需要的地方優先配置和加強安全措施。

高效的驗證分析: 通過提供攻擊者攻破網絡的完整過程，事件相關性為進一步的驗證調查提供堅實的基礎。

輕松滿足 IT 合規:當您可以利用強大的系統檢測事件，并展現其如何發生的，遵從合規政策變得十分簡單。

如果您想要了解更多關于EventLogAnalyzer的功能介紹，請通路我們的網站: 百度搜尋manageengine即可