杂记0125

已于 2024-05-11 18:19:58 修改
阅读量392 收藏 11
点赞数 5
分类专栏: 杂记 文章标签: 网络
于 2024-01-25 22:49:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41610932/article/details/129039301
版权
本文探讨了SIEM系统在安全信息和事件管理中的角色,区分了监测和检测功能,同时展示了如何使用Spl语句检测超过90天未登录的账号。
摘要由CSDN通过智能技术生成

SIEM:Security information and Event management安全信息和事件管理

【SIEM是检测偏多还是监测偏多】

SIEM系统在设计上既注重检测也强调监测,两者功能相辅相成,共同构成了组织安全态势感知和响应的核心能力。

**监测(Monitoring)**是SIEM系统的基础功能,它持续不断地收集、整合并分析来自网络设备、主机系统、应用程序等源头的各类日志和事件数据。通过实时监控这些信息流,SIEM系统能够提供对整个IT环境的全面视图,用于日常的安全运维、合规性检查以及异常行为的初步识别。

**检测(Detection)**则是SIEM系统中的高级功能,基于其强大的数据分析能力和威胁情报库,SIEM能够发现潜在的安全威胁、攻击迹象或恶意活动模式。这包括但不限于已知攻击签名匹配、用户行为分析(UBA)、异常行为检测、上下文关联分析等手段,从而实现对未知威胁和复杂攻击链的检测。

利用spl语句做【超过90天没有登录的账号】

index=<你的日志索引> 
2| dedup username 
3| stats last(login_time) as last_login by username 
4| where isnull(last_login) OR (now() - relative_time(last_login, "90d") > 0)
  • index=<你的日志索引>:替换为实际存储飞连准入产品日志的索引名称。
  • dedup username:去除同一用户名的重复行,确保每个用户名只保留一行最新登录记录。
  • stats last(login_time) as last_login by username:按用户名分组并计算出每个用户的最后一次登录时间。
  • where isnull(last_login) OR (now() - relative_time(last_login, "90d") > 0):筛选出从未登录过(last_login为null)或最后一次登录时间距离现在超过90天的用户。
MingXS2021
关注
专栏目录
杂记
02-19
【标题】:“杂记”涉及了多个IT领域的知识点,包括数据库、Unix服务、Unix工具、Linux系统管理和配置、密码学以及开发运维。 【数据库】:PostgreSQL和MySQL是两种广泛使用的开源关系型数据库管理系统(RDBMS)。...
oracle杂记.doc
05-25
oracle杂记.doc 这是我个人的总结。 主要是oracle的编程以及体系结构的理解。
curl杂记
disking的博客
07-21 127
1.在window环境下使用post,需要把 ‘ 改成 “ ,后续内容的 ” 需要带\ 进行转义 # windows 环境 curl -H "Accept: application/json" -H "Content-type: application/json" -X POST -d "{\"msg\":\"1800000\",\"data\":\"test\"}" URL
js杂记
xyf_coco的博客
06-08 176
array1.forEach(callbackfn[, thisArg]) this.Arg表示 callbackfn 函数中的 this 关键字可引用的对象。 变量和函数声明都会提升,也就是说会先声明,但是此时他们还都没有被赋值 ...
学习杂记
qq_35793080的博客
09-15 200
-fgnu89-inline 编译低版本的内核的时候,高版本的GCC,需要再Makefile中的CFLAG中加入这样一个编译选项。 dd if=xxx of=xxx seek=1 bs=1k bs指定了输入输出文件的块大小,seek后边的数字,以这个大小为单位,这里,就表示输出在输出文件的偏移1K的地址开始写 ...
ubuntu杂记
qq_38251389的博客
05-02 193
杂记 ubuntu自带py2和py3,由于本人已经装过很多次ubuntu,所以多次经验会让我发现一些问题。记忆中pip2(或者是pip)和pip3是自带的,分别对应py2、py3。但是安装了anaconda后默认python会变成anaconda的,这时好像会影响到pip,即pip3仍是对应系统自带的py3,不会影响pip3,但是pip却对应到anaconda的py了。而且查询py2.7文件夹...
杂记,随笔
justforuse的博客
04-18 312
不知道CSDN有没有类似issue或者gist的功能,随便写点东西什么的。 有时可能只是一些知识、技巧或者想法。 所以欢迎到issue下交流讨论。地址: https://github.com/justforuse/quick-notes/issues ...
熟悉芯片杂记
Zzt的博客
06-16 85
关键词: DMIPS:Dhrystone Million Instructions executed Per Second :主要用于测整数计算能力。   MIPS: Million Instructions executed Per Second,每秒百万条指令,用来计算同一秒内系统的处理能力,即每秒执行了多少百万条指令。D是Dhrystone的缩写,他表示了在Dhrystone这...
今日杂记
weixin_44219926的博客
12-22 101
今天天气晴朗,也没有雾霾,是这座城市冬季难得的好天气,应该下楼走走的。
spring-杂记
qq_38775188的博客
06-17 97
@RestController注解相当于@ResponseBody + @Controller合在一起的作用。 @Conponent 注解使得被注解的类在spring中被配置成一个bean
dataframe杂记
weixin_40537081的博客
05-25 287
#list中数据类型转换 #使用map函数 a=['23','342','234','53452'] b=list(map(int,a)) print(b) # list头部插值,先倒序再apeend再倒序 a.reverse() a.append('new_value') a.reverse() # DataFrame 相关操作 #dataframe使用astype db_get_bulk['...
oracle 9i杂记
04-08
《Oracle 9i杂记——探索PLSQL的世界》 Oracle 9i,作为Oracle数据库的一个重要版本,引入了许多新特性和改进,其中PL/SQL(Procedural Language/Structured Query Language)是其核心组成部分,是一种结合了SQL和...
git使用杂记
02-25
作为一个开发者,如果现在还不知道git或者还不会使用git,那么你应该好好的反省。自己去好好看一遍的入门介绍吧。今天只是对自己在日常中使用git的一些常用命令的介绍与自己认为不错且能提高我们办公效率的命令。...
Linux 再入门整理:详解 /etc/fstab 文件
一只奋斗的猪
10-01 1251
`/etc/fstab` 文件是 Linux 系统中用于定义和管理文件系统的挂载信息的配置文件。它的作用是告诉系统在启动时,应该如何自动挂载各种文件系统。挂载是 Linux 操作系统中一种将存储设备与目录树关联的操作。通过挂载,存储设备中的文件可以通过目录访问。
Mac ToDesk 无法连接网络
Primer5
10-04 249
检查登录项,看到后台运行项目是关闭状态,允许后台运行之后返回查看立马显示网络连接正常。网络连接的是 Wi-Fi,打开浏览器能跟正常浏览内容,说明 Wi-Fi 是正常的。检查防火墙是没有阻止ToDesk 的任何连接,说明防火墙也是正常的。
从零开始实现RPC框架---------项目介绍及环境准备
qq_41934502的博客
10-02 436
从零开始实现rpc架构项目介绍
网络扫描模块python-nmap案例解析
最新发布
we chat:玩转测试开发
10-07 332
它可以方便地在 Python 脚本中执行网络扫描,并解析 Nmap 的输出结果。python-nmap 模块是进行网络扫描的强大工具,通过简单的接口和丰富的功能,开发者可以轻松地在 Python 中集成网络安全检查和资产发现功能。6.1执行扫描:在 run_nmap_scan 函数中,创建了一个 nmap.PortScanner 实例,并使用 scan() 方法执行网络扫描。6.2 解析结果:扫描结果通过访问 scanner.all_hosts() 方法获取,并打印每个主机的状态和开放的端口信息。
HTTP协议讲解,请求报文与响应报文都是什么?网络控制台查看HTTP请求
m0_70325779的博客
09-30 991
服务器拒绝用户请求,有可能因为用户的权限不足,没有相应的访问权限,紧接着刚才的401,401是用户没有验证身份,如果用户验证了身份,但是没有访问权限,就会爆出403。而我们本地启动自己的项目代码的时候,是可以看到HTML文件和JS文件的,还可以在JS文件中打断点进行调试,如下图,我启动了本地的前端项目,可以看到这里就有JS文件和HTML文件,我们将鼠标点击在行头,就可以标记断点进行调试,如下图蓝色的三行几位断点,当JS代码运行到此处时,就会卡住,和我们使用IDEA进行DEBUG一样的道理。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

MingXS2021

技术活儿,当赏~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值