日志是网络活动的重要依据,包含了关于您网络上所有用户和系统活动的详尽信息。基本日志分析可帮助您轻松地对数百万个日志进行分类,并挑选出可以表明存在可疑活动的日志,识别与正常网络活动不符的异常日志。
通常,单独查看某个日志可能看起来完全正常,但如果结合一组其他相关的日志,就可能得到潜在的攻击模式。EventLog Analyzer的关联引擎发现了来自网络上多个设备的日志序列,这表明存在可能的攻击,并会迅速向您发出告警表知该威胁。它的功能让您不局限于分析日志,并主动采取措施来抵御攻击。
EventLog Analyzer
EventLog Analyzer日志关联
EventLog Analyzer强大的关联引擎可高效识别您日志中已确定的攻击模式。其关联模块提供了多个有用的功能,包括:
预定义规则: 利用产品附带的20多个预定义的攻击模式(或规则)。
概况仪表盘: 浏览易于使用的关联仪表盘,其中针对各个攻击模式均提供了详细报表,还针对所有已发现的攻击提供了概况报表,可帮助进行深入分析。
时间线视图: 浏览易于使用的关联仪表盘,其中针对各个攻击模式均提供了详细报表,还针对所有已发现的攻击提供了概况报表,可帮助进行深入分析。
直观的规则生成器: 浏览易于使用的关联仪表盘,其中针对各个攻击模式均提供了详细报表,还针对所有已发现的攻击提供了概况报表,可帮助进行深入分析。
字段筛选器: 对日志字段设置约束,以对已定义的攻击模式进行细粒度控制。
即时告警: 设置电子邮件或短信通知,这样当系统识别出可疑模式时,您会立即收到告警。
规则管理: 在一个页面上便可启用、禁用、删除或编辑规则及其通知。
列选择器: 通过选择所需列并按需对其重命名,以控制各报表中显示的信息。
计划报表: 设置计划来生成和分发您所需的关联报表。
关联日志
使用直观的界面创建规则
通过其规则生成器界面,EventLog Analyzer让新的攻击模式创建过程如此简单。
使用一百多个网络操作来定义新的攻击模式。
拖放规则以调整某个模式所包含的操作,以及所采用的顺序。
使用筛选器限制特定的日志字段值。
指定触发告警的阈值,如操作的发生次数或操作之间的时间帧。
为每个规则添加名称、类别和描述。
编辑现有规则以微调您的告警。如果您注意到某个特定的规则生成的误报过多或未能识别出攻击,您可根据需要轻松调整规则定义。
了解EventLog Analyzer的更多功能,请关注“运维有小邓”,小邓将带您了解更多IT运维新知识!
特别声明
本文仅代表作者观点,不代表本站立场,本站仅提供信息存储服务。