利用关联来发现复杂攻击模式
日志是网络活动的重要依据,包含了关于您网络上所有用户和系统活动的详尽信息。基本日志分析可帮助您轻松地对数百万个日志进行分类,并挑选出可以表明存在可疑活动的日志,识别与正常网络活动不符的异常日志。
通常,单独查看某个日志可能看起来完全正常,但如果结合一组其他相关的日志,就可能得到潜在的攻击模式。EventLog Analyzer的关联引擎发现了来自网络上多个设备的日志序列,这表明存在可能的攻击,并会迅速向您发出告警表知该威胁。它的功能让您不局限于分析日志,并主动采取措施来抵御攻击。
EventLog Analyzer日志关联
EventLog Analyzer强大的关联引擎可高效识别您日志中已确定的攻击模式。其关联模块提供了多个有用的功能,包括:
- • 预定义规则: 利用产品附带的20多个预定义的攻击模式(或规则)。
- • 概况仪表盘: 浏览易于使用的关联仪表盘,其中针对各个攻击模式均提供了详细报表,还针对所有已发现的攻击提供了概况报表,可帮助进行深入分析。
- • 时间线视图: 浏览易于使用的关联仪表盘,其中针对各个攻击模式均提供了详细报表,还针对所有已发现的攻击提供了概况报表,可帮助进行深入分析。
- • 直观的规则生成器: 浏览易于使用的关联仪表盘,其中针对各个攻击模式均提供了详细报表,还针对所有已发现的攻击提供了概况报表,可帮助进行深入分析。
- • 字段筛选器: 对日志字段设置约束,以对已定义的攻击模式进行细粒度控制。
- • 即时告警: 设置电子邮件或短信通知,这样当系统识别出可疑模式时,您会立即收到告警。
- • 规则管理: 在一个页面上便可启用、禁用、删除或编辑规则及其通知。
- • 列选择器: 通过选择所需列并按需对其重命名,以控制各报表中显示的信息。
- • 计划报表: 设置计划来生成和分发您所需的关联报表。
使用直观的界面创建规则
通过其规则生成器界面,EventLog Analyzer让新的攻击模式创建过程如此简单。
- • 使用一百多个网络操作来定义新的攻击模式。
- • 拖放规则以调整某个模式所包含的操作,以及所采用的顺序。
- • 使用筛选器限制特定的日志字段值。
- • 指定触发告警的阈值,如操作的发生次数或操作之间的时间帧。
- • 为每个规则添加名称、类别和描述。
- • 编辑现有规则以微调您的告警。如果您注意到某个特定的规则生成的误报过多或未能识别出攻击,您可根据需要轻松调整规则定义。
其它功能
EventLog Analyzer提供日志管理、文件完整性监视和实时事件相关功能,这些功能可以帮助满足SIEM的需求、抵御安全攻击和防止数据泄露。
通过预定义的报表和告警,符合监管条例(即,PCI DSS、FISMA、HIPAA及更多)的严格要求。自定义现有报表或构建新报表来满足内部安全需求。
使用预定义报表监视机密文件/文件夹的关键变化,并提供实时警报。获取详细的信息,比如“谁做了更改,什么时候更改了,什么时候以及从哪里”。
使用无代理或基于代理的方法从Windows服务器或工作站、Linux/Unix服务器、网络设备、路由器、交换机和防火墙中集中收集日志数据。
分析来自网络的数据源的日志数据。检测异常,跟踪关键的安全事件,并使用预定义报表、直观的仪表板和即时警报来监视用户行为。
对回溯攻击进行深入的取证分析,找出事件的根源。将搜索查询保存为告警配置文件,以减轻未来的威胁。